**Ti presentiamo una nuova esperienza di console per AWS WAF**

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta [Lavorare con la console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

# AWS Shield
<a name="shield-chapter"></a>

La protezione dagli attacchi Distributed Denial of Service (DDoS) è di primaria importanza per le applicazioni connesse a Internet. Quando costruisci la tua applicazione AWS, puoi utilizzare le protezioni AWS fornite senza costi aggiuntivi. Inoltre, puoi utilizzare il servizio AWS Shield Advanced gestito di protezione dalle minacce per migliorare il tuo livello di sicurezza con funzionalità aggiuntive di rilevamento, mitigazione e risposta DDo S. 

AWS si impegna a fornirti gli strumenti, le migliori pratiche e i servizi per contribuire a garantire disponibilità, sicurezza e resilienza elevate nella tua difesa contro i malintenzionati su Internet. Questa guida viene fornita per aiutare i responsabili delle decisioni IT e gli ingegneri della sicurezza a capire come utilizzare Shield e Shield Advanced per proteggere meglio le loro applicazioni dagli attacchi DDo S e da altre minacce esterne. 

Quando costruisci la tua applicazione AWS, ricevi una protezione automatica AWS contro i comuni vettori di attacco volumetrici DDo S, come gli attacchi di riflessione UDP e i flood TCP SYN. Puoi sfruttare queste protezioni per garantire la disponibilità delle applicazioni su AWS cui esegui progettando e configurando la tua architettura per la resilienza S. DDo 

Questa guida fornisce consigli che possono aiutarti a progettare, creare e configurare le architetture applicative per la resilienza S. DDo Le applicazioni che aderiscono alle migliori pratiche fornite in questa guida possono trarre vantaggio da una maggiore continuità di disponibilità quando sono prese di mira da attacchi DDo S più ampi e da una gamma più ampia di vettori di DDo attacco S. Inoltre, questa guida mostra come utilizzare Shield Advanced per implementare una postura di protezione DDo S ottimizzata per le applicazioni critiche. Queste includono le applicazioni per le quali avete garantito un certo livello di disponibilità ai vostri clienti e quelle che richiedono supporto operativo AWS durante gli eventi DDo S.

La sicurezza è una responsabilità condivisa tra te AWS e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a Shield Advanced, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili. 

![\[Un diagramma mostra un rettangolo diviso orizzontalmente. La metà superiore è intitolata Cliente: responsabilità per la sicurezza «nel» cloud e la metà inferiore è intitolata AWS: Responsabilità per la sicurezza «del» cloud. La metà superiore del cliente contiene quattro livelli. Il primo è costituito dai dati dei clienti. Il secondo è la gestione della piattaforma, delle applicazioni, delle identità e degli accessi. Il terzo è la configurazione del sistema operativo, della rete e del firewall. Il quarto e ultimo livello dell'area clienti è suddiviso in tre sezioni affiancate. La parte sinistra è costituita dai dati lato client, dalla crittografia e dall'integrità dei dati, dall'autenticazione. Quella centrale è la crittografia lato server (dati del file system). and/or Quella giusta è la protezione del traffico di rete (crittografia, integrità, identità). Il contenuto del primo cliente si conclude con la metà della cifra. La AWS metà inferiore della figura contiene un livello denominato Software nella parte superiore e al di sotto un livello denominato AWS Hardware/infrastruttura globale. Il livello software è suddiviso in quattro sottosezioni affiancate e che recitano: Elaborazione, Archiviazione, Database, Rete. Il livello hardware è suddiviso in tre sottosezioni affiancate e che riportano le seguenti informazioni: Regioni, zone di disponibilità e sedi periferiche.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shared-responsibility-model.png)


# Come funzionano AWS Shield e Shield Advanced
<a name="ddos-overview"></a>

Questa pagina spiega la differenza tra AWS Shield Standard e AWS Shield Advanced. Descrive inoltre le classi di attacchi rilevate da Shield.

AWS Shield Standard e AWS Shield Advanced forniscono protezioni contro gli attacchi Distributed Denial of Service (DDoS) per AWS le risorse a livello di rete e trasporto (livello 3 e 4) e a livello di applicazione (livello 7). Un attacco DDo S è un attacco in cui più sistemi compromessi cercano di inondare di traffico un bersaglio. Un attacco DDo S può impedire agli utenti finali legittimi di accedere ai servizi di destinazione e può causare il blocco dell'obiettivo a causa dell'eccessivo volume di traffico. 

AWS Shield fornisce protezione contro un'ampia gamma di vettori di attacco DDo S e vettori di attacco zero-day noti. Il rilevamento e la mitigazione dello Shield sono progettati per fornire copertura contro le minacce anche se non sono note esplicitamente al servizio al momento del rilevamento.

Shield Standard viene fornito automaticamente e senza costi aggiuntivi durante l'uso AWS. Per livelli più elevati di protezione contro gli attacchi, puoi effettuare la sottoscrizione ad AWS Shield Advanced.

Le classi di attacchi rilevate da Shield includono le seguenti:
+ **Attacchi volumetrici di rete (livello 3)**: si tratta di una sottocategoria dei vettori di attacco a livello di infrastruttura. Questi vettori tentano di saturare la capacità della rete o della risorsa bersaglio, di negare il servizio agli utenti legittimi.
+ **Attacchi al protocollo di rete (livello 4)**: si tratta di una sottocategoria dei vettori di attacco a livello di infrastruttura. Questi vettori abusano di un protocollo per negare il servizio alla risorsa bersaglio. Un esempio comune di attacco al protocollo di rete è il TCP SYN flood, che può esaurire lo stato della connessione su risorse come server, sistemi di bilanciamento del carico o firewall. Un attacco al protocollo di rete può anche essere volumetrico. Ad esempio, un TCP SYN flood più ampio può avere l'obiettivo di saturare la capacità di una rete e allo stesso tempo di esaurire lo stato della risorsa o delle risorse intermedie prese di mira.
+ **Attacchi a livello applicativo (livello 7)**: questa categoria di vettori di attacco tenta di negare il servizio agli utenti legittimi inondando un'applicazione di query valide per l'obiettivo, come i flussi di richieste Web.

**Contents**
+ [Panoramica di AWS Shield Standard](ddos-standard-summary.md)
+ [Panoramica di AWS Shield Advanced](ddos-advanced-summary.md)
+ [Elenco di AWS risorse che AWS Shield Advanced proteggono](ddos-advanced-summary-protected-resources.md)
+ [AWS Shield Advanced funzionalità e opzioni](ddos-advanced-summary-capabilities.md)
+ [Decidere se abbonarsi AWS Shield Advanced e applicare protezioni aggiuntive](ddos-advanced-summary-deciding.md)
+ [Esempi di attacchi DDo S](types-of-ddos-attacks.md)
+ [Come AWS Shield rileva gli eventi](ddos-event-detection.md)
  + [AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)](ddos-event-detection-infrastructure.md)
  + [Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)](ddos-event-detection-application.md)
  + [Logica di rilevamento Shield Advanced per più risorse in un'applicazione](ddos-event-detection-multiple-resources.md)
+ [Come AWS Shield mitigare gli eventi](ddos-event-mitigation.md)
  + [Elenco delle funzionalità di mitigazione AWS Shield DDo S](ddos-event-mitigation-features.md)
  + [AWS Shield logica di mitigazione per CloudFront e Route 53](ddos-event-mitigation-logic-continuous-inspection.md)
  + [AWS Shield logica di mitigazione per le regioni AWS](ddos-event-mitigation-logic-regions.md)
  + [AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard](ddos-event-mitigation-logic-gax.md)
  + [AWS Shield Advanced logica di mitigazione per Elastic IPs](ddos-event-mitigation-logic-adv-eip.md)
  + [AWS Shield Advanced logica di mitigazione per applicazioni web](ddos-event-mitigation-logic-adv-web-app.md)

# Panoramica di AWS Shield Standard
<a name="ddos-standard-summary"></a>

AWS Shield è un servizio gestito di protezione dalle minacce che protegge il perimetro dell'applicazione. Il perimetro è il primo punto di ingresso per il traffico delle applicazioni proveniente dall'esterno della rete. AWS 

Per determinare dove si trova il perimetro dell'applicazione, considerate in che modo gli utenti accedono all'applicazione da Internet. Se il primo punto di ingresso si trova in una AWS regione, il perimetro dell'applicazione è Amazon Virtual Private Cloud (VPC). Se gli utenti vengono indirizzati alla tua applicazione da Amazon Route 53 e accedono per la prima volta all'applicazione tramite Amazon CloudFront o AWS Global Accelerator, il perimetro dell'applicazione inizia ai margini della AWS rete. 

Shield offre vantaggi di rilevamento e mitigazione DDo S per tutte le applicazioni in esecuzione AWS, ma le decisioni prese durante la progettazione dell'architettura dell'applicazione influenzeranno il livello di resilienza DDo S. DDoS Resiliency è la capacità dell'applicazione di continuare a funzionare entro i parametri previsti durante un attacco. 

Tutti AWS i clienti beneficiano della protezione automatica di Shield Standard, senza costi aggiuntivi. Shield Standard difende dagli attacchi di rete e di trasporto di livello DDo S più comuni e frequenti che prendono di mira il tuo sito Web o le tue applicazioni. Sebbene Shield Standard aiuti a proteggere tutti AWS i clienti, ottieni vantaggi particolari con le zone ospitate di Amazon Route 53, CloudFront le distribuzioni Amazon e gli AWS Global Accelerator acceleratori standard. Queste risorse ricevono una protezione completa della disponibilità contro tutti gli attacchi noti a livello di rete e trasporto.

# Panoramica di AWS Shield Advanced
<a name="ddos-advanced-summary"></a>

AWS Shield Advanced è un servizio gestito che consente di proteggere l'applicazione da minacce esterne, come attacchi DDo S, bot volumetrici e tentativi di sfruttamento delle vulnerabilità. Per livelli più elevati di protezione contro gli attacchi, puoi effettuare la sottoscrizione ad AWS Shield Advanced. 

Quando ti abboni a Shield Advanced e aggiungi protezione alle tue risorse, Shield Advanced offre una protezione estesa dagli attacchi DDo S per tali risorse. Le protezioni che ricevi da Shield Advanced possono variare a seconda dell'architettura e delle scelte di configurazione. Utilizza le informazioni contenute in questa guida per creare e proteggere applicazioni resilienti utilizzando Shield Advanced e per aumentare la richiesta quando hai bisogno dell'aiuto di un esperto. 

**Abbonamenti e AWS WAF costi Shield Advanced**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.

L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).

L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.

Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).

**Fatturazione dell'abbonamento Shield Advanced**  
Se sei un AWS Channel Reseller, contatta il team del tuo account per informazioni e assistenza. Queste informazioni di fatturazione sono destinate ai clienti che non sono rivenditori di AWS canale. 

Per tutti gli altri, si applicano le seguenti linee guida per l'abbonamento e la fatturazione:
+ Per gli account membri di un' AWS Organizations organizzazione, AWS addebita gli abbonamenti Shield Advanced sul conto pagante dell'organizzazione, indipendentemente dal fatto che l'account di pagamento stesso sia sottoscritto. 
+ Quando sottoscrivi più account appartenenti alla stessa famiglia di conti di [fatturazione AWS Organizations consolidati, un unico prezzo di abbonamento copre tutti gli account sottoscritti della famiglia](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html). L'organizzazione deve possedere tutte Account AWS e tutte le proprie risorse. 
+ Quando sottoscrivi più account per più organizzazioni, puoi comunque pagare un'unica quota di abbonamento per tutte le organizzazioni, gli account e le risorse, purché tu ne sia il proprietario. Contatta il tuo account manager o l' AWS assistenza e richiedi un'esenzione dai costi di AWS Shield Advanced abbonamento per tutte le organizzazioni tranne una. 

Per informazioni dettagliate ed esempi sui prezzi, consulta [AWS Shield Prezzi](https://aws.amazon.com/shield/pricing/). 

**Topics**

# Elenco di AWS risorse che AWS Shield Advanced proteggono
<a name="ddos-advanced-summary-protected-resources"></a>

**Nota**  
Le protezioni Shield Advanced sono abilitate solo per le risorse che hai specificato esplicitamente in Shield Advanced o che proteggi tramite una politica AWS Firewall Manager Shield Advanced. Shield Advanced non protegge automaticamente le tue risorse. 

È possibile utilizzare Shield Advanced per il monitoraggio e la protezione avanzati con i seguenti tipi di risorse:
+  CloudFront Distribuzioni Amazon. Per la distribuzione CloudFront continua, Shield Advanced protegge qualsiasi distribuzione temporanea associata a una distribuzione primaria protetta. 
+ Zone ospitate Amazon Route 53.
+ AWS Global Accelerator acceleratori standard.
+ Indirizzi IP Amazon EC2 Elastic. Shield Advanced protegge le risorse associate agli indirizzi IP elastici protetti. 
+  EC2 Istanze Amazon, tramite associazione a indirizzi IP Amazon EC2 Elastic. 
+ I seguenti sistemi di bilanciamento del carico Elastic Load Balancing (ELB):
  + Application Load Balancer.
  + Classic Load Balancer.
  + Network Load Balancer, tramite associazioni a indirizzi IP Amazon EC2 Elastic. 

Per ulteriori informazioni sulle protezioni per questi tipi di risorse, consulta. [Elenco di risorse che AWS Shield Advanced proteggono](ddos-protections-by-resource-type.md)

# AWS Shield Advanced funzionalità e opzioni
<a name="ddos-advanced-summary-capabilities"></a>

AWS Shield Advanced l'abbonamento include le seguenti funzionalità e opzioni. Queste funzionalità integrano le funzionalità di rilevamento e mitigazione DDo S di cui già disponi AWS. 
+ **AWS WAF integrazione**: Shield Advanced utilizza AWS WAF web ACLs, regole e gruppi di regole come parte delle sue protezioni a livello di applicazione. Per ulteriori informazioni su AWS WAF, vedere[Come AWS WAF funziona](how-aws-waf-works.md). 
**Nota**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.  
L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).  
L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.  
Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).
+ **Mitigazione automatica del livello di applicazione DDo S**: è possibile configurare Shield Advanced per rispondere automaticamente alla mitigazione degli attacchi a livello di applicazione (livello 7) contro le risorse protette. Con la mitigazione automatica, Shield Advanced impone la limitazione della AWS WAF velocità sulle richieste provenienti da fonti DDo S note e aggiunge e gestisce automaticamente AWS WAF protezioni personalizzate in risposta agli attacchi S rilevati. DDo È possibile configurare la mitigazione automatica per contare o bloccare le richieste Web che fanno parte di un attacco. 

  Per ulteriori informazioni, consulta [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).
+ **Rilevamento basato sullo** stato: puoi utilizzare i controlli dello stato di Amazon Route 53 con Shield Advanced per rilevare e mitigare gli eventi in modo mirato. I controlli sanitari monitorano l'applicazione in base alle specifiche, segnalando lo stato di integrità quando le specifiche sono soddisfatte e lo stato non lo è quando non lo sono. L'utilizzo dei controlli di integrità con Shield Advanced aiuta a prevenire i falsi positivi e fornisce un rilevamento e una mitigazione più rapidi quando una risorsa protetta non è integra. È possibile utilizzare il rilevamento basato sullo stato di salute per qualsiasi tipo di risorsa ad eccezione delle zone ospitate su Route 53. Il coinvolgimento proattivo Shield Advanced è disponibile solo per le risorse che hanno abilitato il rilevamento basato sullo stato di salute. 

  Per ulteriori informazioni, consulta [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).
+ **Gruppi di protezione**: è possibile utilizzare i gruppi di protezione per creare raggruppamenti logici delle risorse protette, per migliorare il rilevamento e la mitigazione dell'intero gruppo. È possibile definire i criteri per l'appartenenza a un gruppo di protezione in modo che le nuove risorse protette vengano incluse automaticamente. Una risorsa protetta può appartenere a più gruppi di protezione. 

  Per ulteriori informazioni, consulta [Raggruppamento delle protezioni AWS Shield Advanced](ddos-protection-groups.md).
+ **Visibilità migliorata DDo su eventi e attacchi S**: Shield Advanced ti dà accesso a metriche e report avanzati in tempo reale per una visibilità completa su eventi e attacchi alle tue AWS risorse protette. Puoi accedere a queste informazioni tramite l'API e la console Shield Advanced e tramite Amazon CloudWatch metrics. 

  Per ulteriori informazioni, consulta [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md).
+ **Gestione centralizzata delle protezioni Shield Advanced tramite AWS Firewall Manager**: puoi utilizzare Firewall Manager per applicare automaticamente le protezioni Shield Advanced ai tuoi nuovi account e risorse e per distribuire AWS WAF regole sul tuo web. ACLs Le policy di protezione Firewall Manager Shield Advanced sono incluse senza costi aggiuntivi per i clienti di Shield Advanced. Puoi anche centralizzare le attività di monitoraggio Shield Advanced per i tuoi account utilizzando Firewall Manager con un argomento Amazon Simple Notification Service (SNS) oppure. AWS Security Hub CSPM

  Per ulteriori informazioni sull'utilizzo di Firewall Manager per gestire le protezioni Shield Advanced, vedere [AWS Firewall Manager](fms-chapter.md) e[Utilizzo AWS Shield Advanced delle politiche in Firewall Manager](shield-policies.md). Per informazioni sui prezzi di Firewall Manager, consulta [AWS Firewall Manager Prezzi](https://aws.amazon.com/firewall-manager/pricing/).
+ **AWS Shield Response Team (SRT)** — L'SRT ha una vasta esperienza nella protezione AWS di Amazon.com e delle sue filiali. In qualità di AWS Shield Advanced cliente, puoi contattare l'SRT in qualsiasi momento per ricevere assistenza durante un attacco DDo S che influisce sulla disponibilità della tua applicazione. Puoi anche lavorare con SRT per creare e gestire mitigazioni personalizzate per le tue risorse. Per utilizzare i servizi dell'SRT, è inoltre necessario essere abbonati al piano Business [Support o al piano Enterprise](https://aws.amazon.com/premiumsupport/business-support/) [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).

  Per ulteriori informazioni, consulta [Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)](ddos-srt-support.md).
+ **Coinvolgimento proattivo**: con il coinvolgimento proattivo, lo Shield Response Team (SRT) ti contatta direttamente se il controllo dello stato di Amazon Route 53 che hai associato alla tua risorsa protetta non funziona correttamente durante un evento rilevato da Shield Advanced. In questo modo puoi interagire più rapidamente con gli esperti quando la disponibilità dell'applicazione potrebbe essere compromessa da un attacco sospetto. 

  Per ulteriori informazioni, consulta [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md).
+ **Opportunità di protezione dei costi**: Shield Advanced offre una certa protezione dai picchi di AWS bolletta che potrebbero derivare da un attacco DDo S contro le risorse protette. Ciò può includere la copertura per i picchi delle tariffe di utilizzo di Shield Advanced data transfer out (DTO). Shield Advanced fornisce qualsiasi protezione dei costi sotto forma di crediti di servizio Shield Advanced.

  Per ulteriori informazioni, consulta [Richiedere un credito AWS Shield Advanced dopo un attacco](ddos-request-service-credit.md). 

# Decidere se abbonarsi AWS Shield Advanced e applicare protezioni aggiuntive
<a name="ddos-advanced-summary-deciding"></a>

Consulta gli scenari in questa sezione per aiutarti a decidere a quali account abbonarti AWS Shield Advanced e dove applicare protezioni aggiuntive. Con Shield Advanced, paghi una quota di abbonamento mensile per tutti gli account creati con un account di fatturazione consolidato, più le tariffe di utilizzo basate su GB di dati trasferiti in uscita. Per informazioni sui prezzi di Shield Advanced, consulta la [AWS Shield Advanced pagina Prezzi](https://aws.amazon.com/shield/pricing/).

Per proteggere un'applicazione e le relative risorse con Shield Advanced, sottoscrivi gli account che gestiscono l'applicazione a Shield Advanced e quindi aggiungi protezioni alle risorse dell'applicazione. Per informazioni sulla sottoscrizione degli account e sulla protezione delle risorse, consulta. [Configurazione AWS Shield Advanced](getting-started-ddos.md)

**Abbonamenti e AWS WAF costi Shield Advanced**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.

L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).

L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.

Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).

**Fatturazione dell'abbonamento Shield Advanced**  
Se sei un AWS Channel Reseller, contatta il team del tuo account per informazioni e assistenza. Queste informazioni di fatturazione sono destinate ai clienti che non sono rivenditori di AWS canale. 

Per tutti gli altri, si applicano le seguenti linee guida per l'abbonamento e la fatturazione:
+ Per gli account membri di un' AWS Organizations organizzazione, AWS addebita gli abbonamenti Shield Advanced sul conto pagante dell'organizzazione, indipendentemente dal fatto che l'account di pagamento stesso sia sottoscritto. 
+ Quando sottoscrivi più account appartenenti alla stessa famiglia di conti di [fatturazione AWS Organizations consolidati, un unico prezzo di abbonamento copre tutti gli account sottoscritti della famiglia](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html). L'organizzazione deve possedere tutte Account AWS e tutte le proprie risorse. 
+ Quando sottoscrivi più account per più organizzazioni, puoi comunque pagare un'unica quota di abbonamento per tutte le organizzazioni, gli account e le risorse, purché tu ne sia il proprietario. Contatta il tuo account manager o l' AWS assistenza e richiedi un'esenzione dai costi di AWS Shield Advanced abbonamento per tutte le organizzazioni tranne una. 

Per informazioni dettagliate ed esempi sui prezzi, consulta [AWS Shield Prezzi](https://aws.amazon.com/shield/pricing/). 

**Identificazione delle applicazioni da proteggere**  
Prendi in considerazione l'implementazione delle protezioni Shield Advanced per le applicazioni in cui è necessario uno dei seguenti elementi: 
+ Disponibilità garantita per gli utenti dell'applicazione. 
+ Accesso rapido agli esperti di mitigazione DDo S se l'applicazione è interessata da un attacco DDo S.
+ Consapevolezza del AWS fatto che l'applicazione potrebbe essere colpita da un attacco DDo S e notifica degli attacchi da parte AWS dei team addetti alla sicurezza o alle operazioni.
+ La prevedibilità dei costi del cloud, anche quando un attacco DDo S influisce sull'utilizzo dei servizi. AWS 

Se un'applicazione o le relative risorse richiedono una delle opzioni precedenti, valuta la possibilità di creare abbonamenti per i relativi account. 

**Identificazione delle risorse da proteggere**  
Per ogni account sottoscritto, valuta la possibilità di aggiungere una protezione Shield Advanced a ciascuna risorsa che presenta una delle seguenti caratteristiche:
+ La risorsa serve utenti esterni su Internet. 
+ La risorsa è esposta a Internet e fa anche parte di un'applicazione critica. Considerate ogni risorsa esposta, indipendentemente dal fatto che intendiate che sia accessibile agli utenti su Internet. 
+ La risorsa è protetta da un ACL AWS WAF web.

Per ulteriori informazioni sulla creazione e la gestione delle protezioni per le risorse, consulta. [Protezione delle risorse in AWS Shield Advanced](ddos-resource-protections.md) 

Inoltre, segui i consigli di questa guida per assicurarti di progettare la tua applicazione per la resilienza DDo S e di aver configurato correttamente le funzionalità di Shield Advanced per protezioni ottimali. 

# Esempi di attacchi DDo S
<a name="types-of-ddos-attacks"></a>

AWS Shield Advanced fornisce una protezione estesa contro molti tipi di attacchi. 

L'elenco seguente descrive alcuni tipi di attacco comuni:



**Attacchi di reflection UDP (User Datagram Protocol, Protocollo datagramma utente)**  
Negli attacchi di riflessione UDP, un utente malintenzionato può falsificare l'origine di una richiesta e utilizzare UDP per ottenere una risposta ampia dal server. Il traffico di rete aggiuntivo diretto verso l'indirizzo IP contraffatto e attaccato può rallentare il server preso di mira e impedire agli utenti finali legittimi di accedere alle risorse necessarie.

**Inondazione TCP SYN**  
L'intento di un attacco TCP SYN flood è quello di esaurire le risorse disponibili di un sistema lasciando le connessioni in uno stato semiaperto. Quando un utente si connette a un servizio TCP come un server web, il client invia un pacchetto TCP SYN. Il server restituisce il suo campo di conferma e il client restituisce il proprio, completando l'handshake a tre. In un flusso TCP SYN, il terzo riconoscimento non viene mai restituito e il server rimane in attesa di una risposta. Questo può impedire ad altri utenti di connettersi al server. 

**Flood di query DNS**  
In un flusso di query DNS, un utente malintenzionato utilizza più query DNS per esaurire le risorse di un server DNS. AWS Shield Advanced può contribuire a fornire protezione contro gli attacchi di query DNS flood sui server DNS Route 53.

**Attacchi flood HTTP o rottura della cache (livello 7)**  
Con un HTTP flood, che include `GET` and `POST` floods, un utente malintenzionato invia più richieste HTTP che sembrano provenire da un utente reale dell'applicazione web. Gli attacchi di rottura della cache sono un tipo di flood HTTP che utilizzano variazioni nella stringa di query di richieste HTTP che impediscono l'utilizzo di contenuti memorizzati nella cache edge located. Questo tipo di attacchi forzano l'esecuzione dei contenuti dal server Web di origine, causando deformazioni ulteriori e potenzialmente dannose al server Web di origine. 

# Come AWS Shield rileva gli eventi
<a name="ddos-event-detection"></a>

AWS utilizza sistemi di rilevamento a livello di servizio per la AWS rete e AWS i singoli servizi, per garantire che rimangano disponibili durante un attacco DDo S. Inoltre, i sistemi di rilevamento a livello di risorsa monitorano ogni singola AWS risorsa per garantire che il traffico verso la risorsa rimanga entro i parametri previsti. Questa combinazione protegge sia la AWS risorsa che i AWS servizi interessati, applicando misure di mitigazione che eliminano i pacchetti noti non validi, evidenziano il traffico potenzialmente dannoso e danno priorità al traffico proveniente dagli utenti finali.

Gli eventi rilevati vengono visualizzati nei riepiloghi degli eventi di Shield Advanced, nei dettagli degli attacchi e nelle CloudWatch metriche di Amazon come nome del vettore di attacco DDo S o come `Volumetric` se la valutazione fosse basata sul volume di traffico anziché sulla firma. Per ulteriori informazioni sulle dimensioni del vettore di attacco disponibili all'interno della `DDoSDetected` CloudWatch metrica, consulta. [AWS Shield Advanced metriche](shield-metrics.md)

**Topics**
+ [AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)](ddos-event-detection-infrastructure.md)
+ [Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)](ddos-event-detection-application.md)
+ [Logica di rilevamento Shield Advanced per più risorse in un'applicazione](ddos-event-detection-multiple-resources.md)

# AWS Shield logica di rilevamento per le minacce a livello di infrastruttura (livello 3 e livello 4)
<a name="ddos-event-detection-infrastructure"></a>

Questa pagina spiega come funziona il rilevamento degli eventi per i livelli dell'infrastruttura (rete e trasporto).

La logica di rilevamento utilizzata per proteggere AWS le risorse mirate dagli attacchi DDo S nei livelli dell'infrastruttura (livello 3 e livello 4) dipende dal tipo di risorsa e dal fatto che la risorsa sia protetta o meno AWS Shield Advanced. 

**Rilevamento per Amazon CloudFront e Amazon Route 53**  
Quando servi la tua applicazione web con CloudFront Route 53, tutti i pacchetti dell'applicazione vengono ispezionati da un sistema di mitigazione DDo S completamente in linea, che non introduce alcuna latenza osservabile. DDoGli attacchi S contro le CloudFront distribuzioni e le zone ospitate da Route 53 vengono mitigati in tempo reale. Queste protezioni si applicano indipendentemente dal fatto che si utilizzi. AWS Shield Advanced

Segui la best practice di utilizzare CloudFront Route 53 come punto di ingresso della tua applicazione web, ove possibile, per il rilevamento e la mitigazione più rapidi degli eventi DDo S.

**Rilevamento AWS Global Accelerator e servizi regionali**  
Il rilevamento a livello di risorsa protegge gli acceleratori e le risorse AWS Global Accelerator standard avviati nelle AWS regioni, come Classic Load Balancer, Application Load Balancer e indirizzi IP elastici (). EIPs Questi tipi di risorse vengono monitorati per rilevare aumenti di traffico che potrebbero indicare la presenza di un attacco S che richiede una mitigazione. DDo Ogni minuto viene valutato il traffico verso ciascuna AWS risorsa. Se il traffico verso una risorsa è elevato, vengono eseguiti controlli aggiuntivi per misurare la capacità della risorsa. 

Shield esegue i seguenti controlli standard: 
+ Istanze **Amazon Elastic Compute Cloud (Amazon EC2), EIP collegati a istanze Amazon EC2: Shield recupera la capacità dalla risorsa** protetta. La capacità dipende dal tipo di istanza della destinazione, dalla dimensione dell'istanza e da altri fattori, ad esempio se l'istanza utilizza una rete avanzata.
+ **Classic Load Balancer e Application Load Balancer**: Shield recupera la capacità dal nodo di bilanciamento del carico di destinazione.
+ **EIPs collegato a Network Load Balancers**: Shield recupera la capacità dal load balancer di destinazione. La capacità è indipendente dalla configurazione di gruppo del sistema di bilanciamento del carico di destinazione.
+ **AWS Global Accelerator acceleratori standard**: Shield recupera la capacità, che si basa sulla configurazione dell'endpoint.

Queste valutazioni si verificano su più dimensioni del traffico di rete, come porta e protocollo. Se la capacità della risorsa target viene superata, Shield applica una mitigazione DDo S. Le mitigazioni introdotte da Shield ridurranno il traffico DDo S, ma potrebbero non eliminarlo. Shield può anche porre una mitigazione se viene superata una frazione della capacità della risorsa su una dimensione di traffico coerente con i vettori di attacco DDo S noti. Shield colloca questa mitigazione con un tempo di vita limitato (TTL), che estende finché l'attacco è in corso.

**Nota**  
Le mitigazioni applicate da Shield ridurranno il traffico DDo S, ma potrebbero non eliminarlo. Puoi potenziare Shield con soluzioni come AWS Network Firewall o un firewall on-host iptables per impedire all'applicazione di elaborare traffico non valido per l'applicazione o non generato da utenti finali legittimi.

Le protezioni Shield Advanced aggiungono quanto segue alle attività di rilevamento Shield esistenti: 
+ **Soglie di rilevamento inferiori**: Shield Advanced colloca le mitigazioni alla metà della capacità calcolata. Ciò può fornire mitigazioni più rapide per gli attacchi che aumentano lentamente e mitigare gli attacchi che hanno una firma volumetrica più ambigua. 
+ **Protezione dagli attacchi intermittenti**: Shield Advanced implementa le mitigazioni con un time to live (TTL) che aumenta esponenzialmente, in base alla frequenza e alla durata degli attacchi. In questo modo le mitigazioni rimangono attive più a lungo quando una risorsa viene spesso presa di mira e quando un attacco si verifica a raffiche brevi. 
+ **Rilevamento basato sullo** stato: quando si associa un controllo dello stato di Route 53 a una risorsa protetta Shield Advanced, lo stato del controllo dello stato viene utilizzato nella logica di rilevamento. Durante un evento rilevato, se il controllo dello stato di salute è corretto, Shield Advanced richiede una maggiore sicurezza che si tratti di un attacco prima di effettuare una mitigazione. Se invece il controllo sanitario non è salutare, Shield Advanced potrebbe porre una mitigazione ancor prima che sia stata stabilita la fiducia. Questa funzionalità aiuta a evitare i falsi positivi e fornisce reazioni più rapide agli attacchi che colpiscono l'applicazione. Per informazioni sui controlli sanitari con Shield Advanced, vedere[Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).

# Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)
<a name="ddos-event-detection-application"></a>

Questa pagina spiega come funziona il rilevamento degli eventi a livello di applicazione.

AWS Shield Advanced fornisce il rilevamento a livello di applicazione Web per CloudFront distribuzioni Amazon protette e Application Load Balancer. Quando proteggi questi tipi di risorse con Shield Advanced, puoi associare un ACL AWS WAF Web alla tua protezione per abilitare il rilevamento a livello di applicazione Web. Shield Advanced utilizza i dati di richiesta per l'ACL Web associato e crea una linea di base del traffico per l'applicazione. Il rilevamento del livello di applicazione Web si basa sull'integrazione nativa tra Shield Advanced e AWS WAF. Per ulteriori informazioni sulle protezioni a livello di applicazione, inclusa l'associazione di un ACL AWS WAF Web a una risorsa protetta Shield Advanced, consulta. [Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md) 

Per il rilevamento a livello di applicazione Web, Shield Advanced monitora il traffico delle applicazioni e lo confronta con le linee di base storiche alla ricerca di anomalie. Questo monitoraggio copre il volume totale e la composizione del traffico. Durante un attacco DDo S, ci aspettiamo che il volume e la composizione del traffico cambino e Shield Advanced richiede una deviazione statisticamente significativa in entrambi i casi per dichiarare un evento. 

Shield Advanced esegue le sue misurazioni rispetto alle finestre temporali storiche. Questo approccio riduce le notifiche di falsi positivi derivanti da variazioni legittime del volume di traffico o da variazioni del traffico che corrispondono a uno schema previsto, ad esempio una vendita offerta ogni giorno alla stessa ora. 

**Nota**  
Evita i falsi positivi nelle tue protezioni Shield Advanced concedendo a Shield Advanced il tempo di stabilire linee di base che rappresentino modelli di traffico normali e legittimi. Shield Advanced inizia a raccogliere informazioni per la sua linea di base quando si associa un ACL Web alla risorsa protetta. Associate un ACL Web alla risorsa protetta almeno 24 ore prima di qualsiasi evento pianificato che potrebbe causare schemi insoliti nel traffico web. Il rilevamento del livello di applicazione Web Shield Advanced è più preciso quando ha osservato 30 giorni di traffico normale.

Il tempo impiegato da Shield Advanced per rilevare un evento è influenzato dalla variazione osservata nel volume di traffico. Per variazioni di volume inferiori, Shield Advanced osserva il traffico per un periodo più lungo, al fine di aumentare la sicurezza che si stia verificando un evento. Per variazioni di volume più elevate, Shield Advanced rileva e segnala un evento più rapidamente. 

Una regola basata sulla frequenza nell'ACL Web, aggiunta da te o dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sulla mitigazione automatica del livello di applicazione S, vedere. DDo [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md)

**Nota**  
È possibile progettare l'applicazione in modo che sia scalabile in risposta a traffico o carico elevati per garantire che non sia influenzata da flussi di richieste di minore entità. Con Shield Advanced, le risorse protette sono coperte dalla protezione dei costi. Questo ti aiuta a proteggerti da aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un attacco DDo S. Per ulteriori informazioni sulla protezione dei costi Shield Advanced, consulta[Richiedere un credito AWS Shield Advanced dopo un attacco](ddos-request-service-credit.md).

# Logica di rilevamento Shield Advanced per più risorse in un'applicazione
<a name="ddos-event-detection-multiple-resources"></a>

Questa pagina spiega come funziona il rilevamento degli eventi per più risorse in un'applicazione. 

È possibile utilizzare i gruppi di AWS Shield Advanced protezione per creare raccolte di risorse protette che fanno parte della stessa applicazione. È possibile scegliere quali risorse protette inserire in un gruppo o indicare che tutte le risorse dello stesso tipo devono essere trattate come un unico gruppo. Ad esempio, è possibile creare un gruppo di tutti gli Application Load Balancer. Quando si crea un gruppo di protezione, il rilevamento Shield Advanced aggrega tutto il traffico per le risorse protette all'interno del gruppo. Ciò è utile se si dispone di molte risorse, ognuna con una piccola quantità di traffico, ma con un grande volume aggregato. È inoltre possibile utilizzare i gruppi di protezione per preservare le linee di base delle applicazioni, nel caso di implementazioni blu-verdi in cui il traffico viene trasferito tra risorse protette. 

Puoi scegliere di aggregare il traffico nel tuo gruppo di protezione in uno dei seguenti modi: 
+ **Somma**: questa aggregazione combina tutto il traffico tra le risorse del gruppo di protezione. È possibile utilizzare questa aggregazione per garantire che le nuove risorse create abbiano una base di riferimento esistente e per ridurre la sensibilità al rilevamento, il che può aiutare a prevenire i falsi positivi.
+ **Media**: questa aggregazione utilizza la media di tutto il traffico all'interno del gruppo di protezione. È possibile utilizzare questa aggregazione per applicazioni in cui il traffico tra le risorse è uniforme, come i sistemi di bilanciamento del carico.
+ **Max**: questa aggregazione utilizza il traffico più elevato di qualsiasi risorsa del gruppo di protezione. È possibile utilizzare questa aggregazione quando vi sono più livelli di un'applicazione in un gruppo di protezione. Ad esempio, potresti avere un gruppo di protezione che include una CloudFront distribuzione, la relativa origine Application Load Balancer e gli obiettivi dell'istanza Amazon EC2 di Application Load Balancer.

Puoi anche utilizzare i gruppi di protezione per migliorare la velocità con cui Shield Advanced effettua le mitigazioni, per gli attacchi che prendono di mira più acceleratori elastici IPs o standard connessi a Internet. AWS Global Accelerator Quando viene presa di mira una risorsa in un gruppo di protezione, Shield Advanced stabilisce la fiducia per le altre risorse del gruppo. Ciò mette in allerta il rilevamento Shield Advanced e può ridurre il tempo necessario per creare ulteriori mitigazioni.

Per ulteriori informazioni sui gruppi di protezione, consulta[Raggruppamento delle protezioni AWS Shield Advanced](ddos-protection-groups.md).

# Come AWS Shield mitigare gli eventi
<a name="ddos-event-mitigation"></a>

Questa pagina illustra come funziona la mitigazione AWS Shield degli eventi. 

La logica di mitigazione che protegge l'applicazione può variare a seconda dell'architettura dell'applicazione. Quando proteggi un'applicazione Web con Amazon CloudFront e Amazon Route 53, usufruisci di mitigazioni specifiche per i casi d'uso Web e DNS e che proteggono tutto il traffico per i servizi. Quando il punto di ingresso dell'applicazione è una risorsa che viene eseguita in una AWS regione, la logica di mitigazione varia a seconda del servizio, del tipo di risorsa e dell'utilizzo che ne fai. AWS Shield Advanced

AWS DDoI sistemi di mitigazione S sono sviluppati dagli ingegneri di Shield e sono strettamente integrati con AWS i servizi. Gli ingegneri tengono conto di aspetti dell'architettura, come la capacità e lo stato delle risorse mirate. Gli ingegneri di Shield monitorano continuamente l'efficacia e le prestazioni dei sistemi di mitigazione DDo S e sono in grado di rispondere rapidamente quando vengono scoperte o previste nuove minacce. 

Puoi progettare la tua applicazione in modo che sia scalabile in risposta a traffico o carico elevati, per garantire che non sia influenzata da lievi ondate di richieste. Se utilizzi Shield Advanced per proteggere le tue risorse, ricevi una copertura contro gli aumenti imprevisti della bolletta del cloud che potrebbero verificarsi a seguito di un attacco DDo S. 

**Mitigazioni dell'infrastruttura**  
Per gli attacchi a livello di infrastruttura, AWS Shield DDo i sistemi di mitigazione S sono presenti ai confini della AWS rete e nelle posizioni AWS periferiche. Il posizionamento di più livelli di controlli di sicurezza in tutta l' AWS infrastruttura consente defense-in-depth di gestire le applicazioni cloud. 

Shield mantiene DDo i sistemi di mitigazione S in tutti i punti di accesso da Internet. Quando Shield rileva un attacco DDo S, per ogni punto di ingresso, reindirizza il traffico attraverso i sistemi di mitigazione DDo S nella stessa posizione. Ciò non introduce alcuna latenza aggiuntiva osservabile e fornisce una capacità di mitigazione di oltre 100 TeraBits al secondo (Tbps) in tutte le regioni e tutte le edge location. AWS Shield protegge la disponibilità delle risorse senza reindirizzare il traffico verso centri di lavaggio esterni o remoti, il che potrebbe aumentare la latenza. 
+ Ai confini della AWS rete, per qualsiasi AWS servizio o risorsa, i sistemi di mitigazione DDo S mitigano gli attacchi a livello di infrastruttura provenienti da Internet. I sistemi eseguono le loro mitigazioni quando segnalati dal rilevamento Shield o da un tecnico dello Shield Response Team (SRT). 
+ Nelle sedi AWS periferiche, DDo i sistemi di mitigazione S ispezionano continuamente ogni pacchetto inoltrato alle CloudFront distribuzioni Amazon e alle zone ospitate di Amazon Route 53, indipendentemente dalla loro origine. Quando necessario, i sistemi applicano mitigazioni progettate specificamente per il traffico web e DNS. Un ulteriore vantaggio dell'utilizzo di Amazon CloudFront e Amazon Route 53 per proteggere le applicazioni Web è che gli attacchi DDo S vengono immediatamente mitigati, senza richiedere un segnale proveniente dal rilevamento Shield. 

**Mitigazioni a livello di applicazione**  
Shield Advanced fornisce mitigazioni a livello di applicazione Web per le CloudFront distribuzioni Amazon e gli Application Load Balancer in cui hai abilitato le protezioni Shield Advanced. Quando abiliti la protezione, associ un ACL AWS WAF web alla risorsa, per abilitare il rilevamento a livello di applicazione web. Inoltre, hai la possibilità di abilitare la mitigazione automatica a livello di applicazione, che indica a Shield Advanced di gestire le protezioni per te durante un attacco S. DDo 

Shield fornisce solo mitigazioni personalizzate per gli attacchi a livello di applicazione alle risorse per le quali hai abilitato Shield Advanced e la mitigazione automatica a livello di applicazione. Con la mitigazione automatica, Shield Advanced impone la limitazione della AWS WAF velocità sulle richieste provenienti da fonti DDo S note e aggiunge e gestisce automaticamente AWS WAF protezioni personalizzate in risposta agli attacchi S rilevati. DDo Per informazioni dettagliate sulle mitigazioni di questo tipo, vedere. [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md) 

Una regola basata sulla frequenza nell'ACL Web, aggiunta da te o aggiunta dalla funzionalità di mitigazione automatica del livello di applicazione Shield Advanced, può mitigare un attacco prima che raggiunga un livello rilevabile. Per ulteriori informazioni sul rilevamento, vedere. [Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)](ddos-event-detection-application.md)

**Topics**
+ [Elenco delle funzionalità di mitigazione AWS Shield DDo S](ddos-event-mitigation-features.md)
+ [AWS Shield logica di mitigazione per CloudFront e Route 53](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield logica di mitigazione per le regioni AWS](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced logica di mitigazione per Elastic IPs](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced logica di mitigazione per applicazioni web](ddos-event-mitigation-logic-adv-web-app.md)

# Elenco delle funzionalità di mitigazione AWS Shield DDo S
<a name="ddos-event-mitigation-features"></a>

Le caratteristiche principali di AWS Shield DDo S mitigation sono le seguenti:
+ **Convalida dei pacchetti**: ciò garantisce che ogni pacchetto ispezionato sia conforme a una struttura prevista e sia valido per il relativo protocollo. Le convalide dei protocolli supportate includono IP, TCP (inclusi header e opzioni), UDP, ICMP, DNS e NTP.
+ **Liste di controllo degli accessi (ACLs) e shaper**: un ACL valuta il traffico in base a attributi specifici e elimina il traffico corrispondente o lo mappa su uno shaper. Lo shaper limita la frequenza dei pacchetti per il traffico corrispondente, eliminando i pacchetti in eccesso per contenere il volume che raggiunge la destinazione. AWS Shield gli ingegneri di rilevamento e Shield Response Team (SRT) possono fornire allocazioni di tariffe dedicate al traffico previsto e allocazioni di tariffe più restrittive al traffico con attributi che corrispondono ai vettori di attacco S noti DDo. Gli attributi a cui un ACL può corrispondere includono la porta, il protocollo, i flag TCP, l'indirizzo di destinazione, il paese di origine e gli schemi arbitrari nel payload del pacchetto. 
+ **Punteggio sospetto: utilizza la** conoscenza che Shield ha del traffico previsto per applicare un punteggio a ogni pacchetto. Ai pacchetti che aderiscono maggiormente ai modelli di traffico noto come buono viene assegnato un punteggio di sospetto inferiore. L'osservazione di attributi noti di traffico non valido può aumentare il punteggio di sospetto per un pacchetto. Quando è necessario stabilire un limite di velocità per i pacchetti, Shield rilascia per primi i pacchetti con punteggi di sospetto più alti. Questo aiuta Shield a mitigare gli attacchi DDo S noti e quelli zero-day evitando al contempo i falsi positivi.
+ **Proxy TCP SYN**: fornisce protezione contro i flood TCP SYN inviando cookie TCP SYN per contestare nuove connessioni prima di consentirne il passaggio al servizio protetto. Il proxy TCP SYN fornito da Shield DDo S mitigation è stateless, il che gli consente di mitigare i più grandi attacchi TCP SYN flood conosciuti senza raggiungere l'esaurimento dello stato. Ciò si ottiene integrando i AWS servizi per trasferire lo stato della connessione invece di mantenere un proxy continuo tra il client e il servizio protetto. Il proxy TCP SYN è attualmente disponibile su Amazon e CloudFront Amazon Route 53. 
+ **Distribuzione delle tariffe**: regola continuamente i valori dello shaper per località in base al modello di ingresso del traffico verso una risorsa protetta. Ciò impedisce la limitazione della velocità del traffico dei clienti che potrebbe non entrare nella rete in modo uniforme. AWS 

# AWS Shield logica di mitigazione per CloudFront e Route 53
<a name="ddos-event-mitigation-logic-continuous-inspection"></a>

Questa pagina spiega in che modo la mitigazione Shield DDo S ispeziona continuamente il traffico per CloudFront e la Route 53. Questi servizi operano da una rete distribuita a livello globale di AWS edge location che forniscono un ampio accesso alla capacità di mitigazione DDo S di Shield e forniscono l'applicazione da un'infrastruttura più vicina agli utenti finali. 

**Importante**  
AWS Shield Advanced non supporta gli CloudFront inquilini.
+ **CloudFront**— Le mitigazioni Shield DDo S consentono solo al traffico valido per le applicazioni Web di passare al servizio. Ciò fornisce una protezione automatica contro molti vettori DDo S comuni, come gli attacchi di riflessione UDP. 

  CloudFront mantiene connessioni persistenti all'origine dell'applicazione, i flood TCP SYN vengono automaticamente mitigati attraverso l'integrazione con la funzione proxy Shield TCP SYN e Transport Layer Security (TLS) viene terminato all'edge. Queste funzionalità combinate assicurano che l'origine dell'applicazione riceva solo richieste Web ben formate e che sia protetta da attacchi S di livello inferiore DDo, flood di connessione e abuso di TLS.

  CloudFront utilizza una combinazione di direzione del traffico DNS e routing anycast. Queste tecniche migliorano la resilienza dell'applicazione mitigando gli attacchi vicini alla fonte, fornendo l'isolamento dai guasti e garantendo l'accesso alla capacità di mitigare gli attacchi più grandi conosciuti. 
+ Le mitigazioni **Route 53** — Shield consentono solo a richieste DNS valide di raggiungere il servizio. Shield mitiga i flussi di query DNS utilizzando un sistema di punteggio di sospetto che dà priorità alle query già valide e riduce la priorità alle query che contengono attributi di attacco S sospetti o noti. DDo 

  Route 53 utilizza lo shuffle sharding per fornire un set unico di quattro indirizzi IP resolver per ogni zona ospitata, per entrambi e. IPv4 IPv6 Ogni indirizzo IP corrisponde a un sottoinsieme diverso di posizioni Route 53. Ogni sottoinsieme di posizioni è costituito da server DNS autorevoli che si sovrappongono solo parzialmente all'infrastruttura di qualsiasi altro sottoinsieme. In questo modo, se una richiesta dell'utente non riesce per qualsiasi motivo, verrà inviata correttamente in caso di nuovo tentativo.

  Route 53 utilizza il routing anycast per indirizzare le query DNS alla edge location più vicina, in base alla prossimità della rete. Anycast indirizza inoltre il traffico DDo S verso molte edge location, il che impedisce agli attacchi di concentrarsi su un'unica posizione. 

Oltre alla velocità di mitigazione, CloudFront Route 53 offre un ampio accesso alla capacità distribuita a livello globale di Shield. Per sfruttare queste funzionalità, utilizzate questi servizi come punto di ingresso per le vostre applicazioni web dinamiche o statiche. 

Per ulteriori informazioni sull'utilizzo CloudFront di Route 53 per proteggere le applicazioni Web, consulta [Come proteggere le applicazioni Web dinamiche dagli attacchi DDo S utilizzando Amazon CloudFront e Amazon Route 53](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/). Per ulteriori informazioni sull'isolamento dei guasti su Route 53, consulta [A Case Study in Global Fault Isolation](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/).

# AWS Shield logica di mitigazione per le regioni AWS
<a name="ddos-event-mitigation-logic-regions"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield nelle AWS regioni.

Le risorse lanciate nelle AWS Regioni sono protette da sistemi di mitigazione AWS Shield DDo S posizionati dal rilevamento a livello di risorsa Shield. Le risorse regionali includono Elastic IPs (EIPs), Classic Load Balancers e Application Load Balancers.

Prima di effettuare una mitigazione, Shield identifica la risorsa bersaglio e la sua capacità. Shield utilizza la capacità di determinare il traffico totale massimo che le sue mitigazioni dovrebbero consentire di inoltrare alla risorsa. Le liste di controllo degli accessi (ACLs) e altri shaper inclusi nella mitigazione potrebbero ridurre i volumi consentiti per alcuni tipi di traffico, ad esempio il traffico che corrisponde ai vettori di attacco DDo S noti o che non dovrebbe avere un volume elevato. Ciò limita ulteriormente la quantità di traffico consentita dalle mitigazioni per gli attacchi di riflessione UDP o per il traffico TCP con flag TCP SYN o FIN.

Shield determina la capacità e posiziona le mitigazioni in modo diverso per ogni tipo di risorsa. 
+ Per un'istanza Amazon EC2 o un EIP collegato a un'istanza Amazon EC2, Shield calcola la capacità in base al tipo di istanza e ad altri attributi dell'istanza, ad esempio se l'istanza ha una rete avanzata abilitata. 
+ Per un Application Load Balancer o un Classic Load Balancer, Shield calcola la capacità individualmente per ogni nodo di destinazione del load balancer. DDoLe mitigazioni degli attacchi S per queste risorse sono fornite da una combinazione di mitigazioni Shield DDo S e scalabilità automatica da parte del load balancer. Quando lo Shield Response Team (SRT) è impegnato in un attacco contro una risorsa Application Load Balancer o Classic Load Balancer, potrebbe accelerare la scalabilità come misura di protezione aggiuntiva. 
+ Shield calcola che la capacità di alcune AWS risorse si basa sulla capacità disponibile dell' AWS infrastruttura sottostante. Questi tipi di risorse includono Network Load Balancers (NLBs) e risorse che instradano il traffico attraverso Gateway Load Balancers o. AWS Network Firewall

**Nota**  
Proteggi i tuoi Network Load Balancer collegando dispositivi EIPs protetti da Shield Advanced. Puoi lavorare con SRT per creare mitigazioni personalizzate basate sul traffico e sulla capacità previsti dell'applicazione sottostante. 

Quando Shield effettua una mitigazione, i limiti di velocità iniziali definiti da Shield nella logica di mitigazione vengono applicati allo stesso modo a tutti i sistemi di mitigazione Shield DDo S. Ad esempio, se Shield applica una mitigazione con un limite di 100.000 pacchetti al secondo (pps), inizialmente consentirà 100.000 pps in ogni posizione. Quindi, Shield aggrega continuamente le metriche di mitigazione per determinare il rapporto effettivo del traffico e utilizza il rapporto per adattare il limite di velocità per ciascuna località. Ciò previene i falsi positivi e garantisce che le mitigazioni non siano eccessivamente permissive. 

# AWS Shield logica di mitigazione per acceleratori AWS Global Accelerator standard
<a name="ddos-event-mitigation-logic-gax"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield per gli AWS Global Accelerator acceleratori standard. Le mitigazioni Shield consentono solo al traffico valido di raggiungere gli endpoint listener di un acceleratore standard Global Accelerator.

Gli acceleratori standard sono distribuiti a livello globale e forniscono indirizzi IP che è possibile utilizzare per indirizzare il traffico verso risorse in qualsiasi regione. AWS AWS I limiti di velocità che Shield impone per la mitigazione di Global Accelerator si basano sulle capacità delle risorse verso le quali l'acceleratore standard indirizza il traffico. Shield effettua mitigazioni quando il traffico totale supera la velocità determinata e anche quando viene superata una frazione di tale velocità per i vettori S noti DDo. 

Quando configuri un acceleratore standard, definisci i gruppi di endpoint per ogni AWS regione in cui indirizzerai il traffico per la tua applicazione. Quando Shield effettua una mitigazione, calcola la capacità di ciascun gruppo di endpoint e aggiorna di conseguenza i limiti di velocità in ogni sistema di mitigazione Shield DDo S. La tariffa varia per ogni località, in base alle ipotesi formulate da Shield sul modo in cui il traffico verrà indirizzato da Internet alle tue AWS risorse. La capacità di un gruppo di endpoint viene calcolata come il numero di risorse del gruppo moltiplicato per la capacità più bassa di qualsiasi risorsa del gruppo. A intervalli regolari, Shield ricalcola la capacità dell'applicazione e aggiorna i limiti di velocità secondo necessità. 

**Nota**  
L'utilizzo delle ghiere di traffico per modificare la percentuale di traffico indirizzato a un gruppo di endpoint non modifica il modo in cui Shield calcola o distribuisce i limiti di velocità nei suoi DDo sistemi di mitigazione S. Se utilizzi le chiamate di traffico, configura i gruppi di endpoint in modo che si rispecchino l'un l'altro in termini di tipo e quantità di risorse. Questo aiuta a garantire che la capacità calcolata da Shield sia rappresentativa delle risorse che servono il traffico dell'applicazione.

Per ulteriori informazioni sui gruppi di endpoint e sui quadranti di traffico in Global Accelerator, consulta [Gruppi di endpoint](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html) negli acceleratori standard. AWS Global Accelerator 

# AWS Shield Advanced logica di mitigazione per Elastic IPs
<a name="ddos-event-mitigation-logic-adv-eip"></a>

Questa pagina spiega come funziona la logica di mitigazione degli eventi Shield per Elastic IPs with AWS Shield Advanced. Quando proteggi un IP elastico (EIP) con AWS Shield Advanced, Shield Advanced migliora le mitigazioni applicate da Shield durante un evento S. DDo

I sistemi di mitigazione Shield Advanced DDo S replicano la configurazione Network ACL (NACL) per la sottorete pubblica a cui è associata l'EIP. Ad esempio, se il tuo NACL è configurato per bloccare tutto il traffico UDP, Shield Advanced unisce tale regola alle mitigazioni applicate da Shield. 

Questa funzionalità aggiuntiva può aiutarti a evitare i rischi di disponibilità dovuti al traffico non valido per la tua applicazione. È inoltre possibile utilizzare NACLs per bloccare singoli indirizzi IP di origine o intervalli CIDR di indirizzi IP di origine. Questo può essere un utile strumento di mitigazione per gli attacchi DDo S che non sono distribuiti. Inoltre, consente di gestire facilmente elenchi di indirizzi consentiti o di bloccare gli indirizzi IP che non dovrebbero comunicare con l'applicazione, senza fare affidamento sull'intervento dei tecnici. AWS 

# AWS Shield Advanced logica di mitigazione per applicazioni web
<a name="ddos-event-mitigation-logic-adv-web-app"></a>

AWS Shield Advanced utilizza AWS WAF per mitigare gli attacchi a livello di applicazioni Web. AWS WAF è incluso in Shield Advanced senza costi aggiuntivi. 

**Protezione standard a livello di applicazione**  
Quando proteggi una CloudFront distribuzione Amazon o Application Load Balancer con Shield Advanced, puoi utilizzare Shield Advanced per associare un ACL AWS WAF web alla tua risorsa protetta, se non ne hai già uno associato. Se non hai già configurato un ACL Web, puoi utilizzare la procedura guidata della console Shield Advanced per crearne uno e aggiungervi una regola basata sulla frequenza. Una regola basata sulla frequenza limita il numero di richieste per ogni finestra temporale di cinque minuti per ogni indirizzo IP, fornendo protezioni di base contro i flussi di richieste a livello di applicazione Web. È possibile configurare la frequenza, a partire da un minimo di 10. Per ulteriori informazioni, consulta [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Puoi anche utilizzare il AWS WAF servizio per gestire l'ACL web. Tramite AWS WAF, puoi espandere la configurazione dell'ACL Web per eseguire operazioni come ispezionare componenti specifici della richiesta Web per individuare corrispondenze o modelli di stringhe, aggiungere una gestione personalizzata di richieste e risposte e confrontare la geolocalizzazione dell'origine della richiesta. Per ulteriori informazioni sulle AWS WAF regole, consulta. [AWS WAF regole](waf-rules.md) 

**Mitigazione automatica a livello di applicazione**  
Per una protezione avanzata, abilita la mitigazione automatica del livello di applicazione Shield Advanced. Con questa opzione, Shield Advanced mantiene una regola AWS WAF di limitazione della velocità per le richieste provenienti da fonti DDo S note e fornisce mitigazioni personalizzate per gli attacchi DDo S rilevati. 

Quando Shield Advanced rileva un attacco a una risorsa protetta, tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. Shield Advanced valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa sotto attacco, nonché per qualsiasi altra risorsa associata allo stesso ACL web.

Se Shield Advanced determina che la firma di attacco isola solo il traffico coinvolto nell'attacco DDo S, implementa la firma nelle AWS WAF regole all'interno dell'ACL web associato. Puoi indicare a Shield Advanced di implementare mitigazioni che contino solo il traffico a cui corrispondono o che lo blocchino, e puoi modificare l'impostazione in qualsiasi momento. Quando Shield Advanced determina che le sue regole di mitigazione non sono più necessarie, le rimuove dall'ACL Web. Per ulteriori informazioni sulla mitigazione degli eventi a livello di applicazione, vedere. [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md) 

Per ulteriori informazioni sulle mitigazioni a livello di applicazione Shield Advanced, vedere[Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md). 

# Creazione di architetture resilienti DDo S di base con Shield Advanced
<a name="ddos-resiliency"></a>

Questa pagina spiega la resilienza Distributed Denial of Service (DDoS) e introduce due architetture di esempio.

DDoLa resilienza S è la capacità dell'architettura dell'applicazione di resistere agli attacchi DDo S continuando a servire utenti finali legittimi. Un'applicazione altamente resiliente può rimanere disponibile durante un attacco con un impatto minimo sui parametri prestazionali come errori o latenza. Questa sezione mostra alcune architetture di esempio comuni e descrive come utilizzare le funzionalità di rilevamento e mitigazione DDo S fornite da AWS Shield Advanced per aumentarne DDo la resilienza S. 

Le architetture di esempio in questa sezione evidenziano i AWS servizi che offrono i maggiori vantaggi in termini di resilienza DDo S per le applicazioni distribuite. I vantaggi dei servizi evidenziati includono quanto segue:
+ **Accesso alla capacità di rete distribuita a livello globale**: i servizi Amazon CloudFront e Amazon Route 53 forniscono l'accesso a Internet e alla capacità di mitigazione DDo S attraverso la rete AWS perimetrale globale. AWS Global Accelerator Ciò è utile per mitigare attacchi volumetrici di grandi dimensioni, che possono raggiungere i terabit di scala. È possibile eseguire l'applicazione in qualsiasi AWS regione e utilizzare questi servizi per proteggere la disponibilità e ottimizzare le prestazioni per gli utenti legittimi.
+ **Protezione dai vettori di attacco di livello DDo S delle applicazioni Web**: il modo migliore per mitigare gli attacchi di livello DDo S delle applicazioni Web è utilizzando una combinazione di scalabilità delle applicazioni e un firewall per applicazioni Web (WAF). Shield Advanced utilizza i registri di ispezione delle richieste Web AWS WAF per rilevare anomalie che possono essere mitigate automaticamente o tramite il coinvolgimento dello AWS Shield Response Team (SRT). La mitigazione automatica è disponibile tramite regole AWS WAF basate sulla frequenza implementate e anche tramite la mitigazione automatica del livello S di applicazione Shield Advanced. DDo

[Oltre a esaminare questi esempi, esamina e segui le migliori pratiche applicabili in Best Practices for S AWS Resiliency. DDo](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)

**Topics**
+ [Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni Web comuni](ddos-resiliency-example-web.md)
+ [Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni TCP e UDP](ddos-resiliency-example-tcp-udp.md)

# Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni Web comuni
<a name="ddos-resiliency-example-web"></a>

Questa pagina fornisce un'architettura di esempio per massimizzare la resilienza contro gli attacchi DDo S con applicazioni web. AWS 

È possibile creare un'applicazione Web in qualsiasi AWS regione e ricevere la protezione DDo S automatica grazie alle funzionalità di rilevamento e mitigazione AWS fornite nella regione. 

Questo esempio riguarda le architetture che indirizzano gli utenti a un'applicazione Web utilizzando risorse come Classic Load Balancers, Application Load Balancers, Network Load Balancers, soluzioni AWS Marketplace o il proprio livello proxy. Puoi migliorare la resilienza DDo S inserendo zone ospitate Amazon Route 53, CloudFront distribuzioni Amazon e AWS WAF Web ACLs tra queste risorse di applicazioni Web e i tuoi utenti. Questi inserimenti possono offuscare l'origine dell'applicazione, servire le richieste più vicino agli utenti finali e rilevare e mitigare i flussi di richieste a livello di applicazione. Le applicazioni che forniscono contenuti statici o dinamici agli utenti con Route 53 sono protette da un sistema di mitigazione DDo S integrato CloudFront e completamente in linea che mitiga gli attacchi a livello di infrastruttura in tempo reale.

Con questi miglioramenti architetturali, puoi quindi proteggere le tue zone ospitate su Route 53 e le tue CloudFront distribuzioni con Shield Advanced. Quando proteggi CloudFront le distribuzioni, Shield Advanced ti richiede di associare il AWS WAF web ACLs e di creare regole basate sulla tariffa per esse, e ti offre la possibilità di abilitare la mitigazione automatica del livello DDo S delle applicazioni o l'impegno proattivo. Il coinvolgimento proattivo e la mitigazione automatica del livello di applicazione DDo S utilizzano i controlli di integrità di Route 53 associati alla risorsa. Per ulteriori informazioni su queste opzioni, consulta [Protezione delle risorse in AWS Shield Advanced](ddos-resource-protections.md). 

Il seguente diagramma di riferimento illustra questa architettura resiliente DDo S per un'applicazione web.

![\[Il diagramma mostra un rettangolo intitolatoAWS cloud, con un gruppo di utenti alla sua sinistra. All'interno del rettangolo a forma di nuvola ci sono altri due rettangoli, affiancati. Il rettangolo sinistro è intitolato AWS Shield Advanced e il rettangolo destro è intitolato. VPC Il AWS Shield Advanced triangolo sinistro contiene tre AWS icone, impilate verticalmente. Dall'alto verso il basso, le icone sono Amazon Route 53 CloudFront, Amazon e AWS WAF. L'icona di CloudFront presenta delle frecce che vanno da e verso l'icona per AWS WAF. Il gruppo di utenti ha una freccia che esce orizzontalmente a destra e che si divide per puntare alle icone di Route 53 e. CloudFront A destra del rettangolo Shield Advanced, il rettangolo VPC contiene due icone affiancate. Da sinistra a destra, queste icone sono Elastic Load Balancing e Amazon Elastic Compute Cloud. L' CloudFront icona ha una freccia che esce orizzontalmente a destra che va all'icona Elastic Load Balancing. L'icona Elastic Load Balancing presenta una freccia che esce orizzontalmente a destra che porta all'icona Amazon EC2. Quindi le richieste degli utenti vengono inviate a Route 53 e. CloudFront CloudFront interagisce AWS WAF e invia richieste al sistema di bilanciamento del carico, che a sua volta invia richieste su Amazon EC2.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)


I vantaggi che questo approccio offre alla tua applicazione web includono i seguenti:
+ Protezione dagli attacchi DDo S a livello di infrastruttura (livello 3 e livello 4) utilizzati di frequente, senza ritardi nel rilevamento. Inoltre, se una risorsa viene spesso presa di mira, Shield Advanced applica misure di mitigazione per periodi di tempo più lunghi. Shield Advanced utilizza anche il contesto dell'applicazione dedotto da Network ACLs (NACLs) per bloccare il traffico indesiderato più a monte. In questo modo i guasti vengono isolati più vicino alla fonte, riducendo al minimo l'effetto sugli utenti legittimi. 
+ Protezione contro le inondazioni TCP SYN. I sistemi di mitigazione DDo S integrati con CloudFront Route 53 AWS Global Accelerator forniscono una funzionalità proxy TCP SYN che sfida i nuovi tentativi di connessione e serve solo utenti legittimi.
+ Protezione dagli attacchi a livello di applicazione DNS, poiché Route 53 è responsabile della fornitura di risposte DNS autorevoli. 
+ Protezione contro i flussi di richieste a livello di applicazione Web. La regola basata sulla frequenza configurata nell'ACL AWS WAF Web blocca i sorgenti IPs quando inviano più richieste di quelle consentite dalla regola. 
+ Attenuazione automatica del livello DDo S delle applicazioni per le CloudFront distribuzioni, se scegli di abilitare questa opzione. Con la mitigazione DDo S automatica, Shield Advanced mantiene una regola basata sulla frequenza nell'ACL AWS WAF web associato alla distribuzione che limita il volume di richieste da fonti S note. DDo Inoltre, quando Shield Advanced rileva un evento che influisce sullo stato dell'applicazione, crea, verifica e gestisce automaticamente le regole di mitigazione nell'ACL Web. 
+ Interazione proattiva con lo Shield Response Team (SRT), se scegli di abilitare questa opzione. Quando Shield Advanced rileva un evento che influisce sullo stato dell'applicazione, SRT risponde e interagisce in modo proattivo con i team di sicurezza o operativi utilizzando le informazioni di contatto fornite dall'utente. L'SRT analizza i modelli del traffico e può aggiornare le regole per bloccare l'attacco. AWS WAF 

# Esempio di architettura di resilienza Shield Advanced DDo S per applicazioni TCP e UDP
<a name="ddos-resiliency-example-tcp-udp"></a>

Questo esempio mostra un'architettura resiliente DDo S per applicazioni TCP e UDP in una AWS regione che utilizza istanze Amazon Elastic Compute Cloud (Amazon EC2) o indirizzi Elastic IP (EIP). 

Puoi seguire questo esempio generale per migliorare la resilienza DDo S per i seguenti tipi di applicazioni: 
+ Applicazioni TCP o UDP. Ad esempio, applicazioni utilizzate per giochi, IoT e voice over IP.
+ Applicazioni Web che richiedono indirizzi IP statici o che utilizzano protocolli CloudFront non supportati da Amazon. Ad esempio, l'applicazione potrebbe richiedere indirizzi IP che gli utenti possono aggiungere agli elenchi di indirizzi consentiti dal firewall e che non vengono utilizzati da altri AWS clienti.

Puoi migliorare la resilienza DDo S per questi tipi di applicazioni introducendo Amazon Route 53 e AWS Global Accelerator. Questi servizi possono indirizzare gli utenti verso la tua applicazione e possono fornire all'applicazione indirizzi IP statici che vengono instradati in modalità anycast attraverso la rete edge AWS globale. Gli acceleratori standard Global Accelerator possono migliorare la latenza degli utenti fino al 60%. Se disponi di un'applicazione Web, puoi rilevare e mitigare i flood di richieste a livello di applicazione Web eseguendo l'applicazione su un Application Load Balancer e quindi proteggendo l'Application Load Balancer con un ACL Web. AWS WAF 

Dopo aver creato l'applicazione, proteggi le zone ospitate di Route 53, gli acceleratori standard Global Accelerator e tutti gli Application Load Balancer con Shield Advanced. Quando proteggi i tuoi Application Load Balancer, puoi associare il AWS WAF web ACLs e creare relative regole basate sulla velocità. Puoi configurare un coinvolgimento proattivo con SRT sia per gli acceleratori standard Global Accelerator che per gli Application Load Balancer associando controlli di integrità Route 53 nuovi o esistenti. Per ulteriori informazioni sulle opzioni, consulta. [Protezione delle risorse in AWS Shield Advanced](ddos-resource-protections.md) 

Il seguente diagramma di riferimento illustra un esempio di architettura resiliente DDo S per applicazioni TCP e UDP.

![\[Il diagramma mostra gli utenti connessi a Route 53 e a un. AWS Global Accelerator L'acceleratore è collegato a un'icona Elastic Load Balancing protetta da AWS Shield Advanced e. AWS WAF L'Elastic Load Balancing è a sua volta connesso a un'istanza Amazon EC2. Questa istanza Elastic Load Balancing e l'istanza Amazon EC2 si trovano nella regione 1. AWS Global Accelerator È inoltre collegato direttamente a un'altra istanza Amazon EC2, che non è protetta da un'istanza Elastic Load Balancing protetta. Questa seconda istanza di Amazon EC2 si trova nella regione n.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)


I vantaggi che questo approccio offre alla tua applicazione includono i seguenti:
+ Protezione contro gli attacchi DDo S più estesi conosciuti a livello di infrastruttura (livello 3 e livello 4). Se il volume di un attacco causa congestione a monte AWS, l'errore verrà isolato più vicino alla fonte e avrà un effetto minimo sugli utenti legittimi.
+ Protezione dagli attacchi a livello di applicazione DNS, poiché Route 53 è responsabile della fornitura di risposte DNS autorevoli. 
+ Se disponi di un'applicazione Web, questo approccio fornisce protezione contro i flussi di richieste a livello di applicazione Web. La regola basata sulla frequenza configurata nell'ACL AWS WAF Web blocca i sorgenti IPs durante l'invio di un numero di richieste superiore a quello consentito dalla regola. 
+ Interazione proattiva con lo Shield Response Team (SRT), se scegli di abilitare questa opzione per le risorse idonee. Quando Shield Advanced rileva un evento che influisce sullo stato dell'applicazione, SRT risponde e interagisce in modo proattivo con i team di sicurezza o operativi utilizzando le informazioni di contatto fornite. 

# Combinando Shield Advanced con altri Servizi AWS
<a name="aws-shield-use-case"></a>

Puoi usare Shield Advanced per proteggere le tue risorse in molti tipi di scenari. Tuttavia, in alcuni casi è necessario utilizzare altri servizi o combinare altri servizi con Shield Advanced per offrire la migliore protezione. Di seguito sono riportati alcuni esempi di come utilizzare Shield Advanced o altri AWS servizi per proteggere le risorse.


| Obiettivo | Servizi suggeriti | Documentazione servizi correlati | 
| --- | --- | --- | 
| Proteggi un'applicazione web e RESTful APIs contro un attacco DDo S | Shield Advanced protegge una CloudFront distribuzione Amazon e un Application Load Balancer | [Documentazione [Elastic Load Balancing, documentazione](https://docs.aws.amazon.com/elasticloadbalancing/) Amazon CloudFront ](https://docs.aws.amazon.com/cloudfront/) | 
| Proteggi un'applicazione basata su TCP da un attacco S DDo | Shield Advanced protegge un acceleratore AWS Global Accelerator standard; collegato a un indirizzo IP elastico | [AWS Global Accelerator Documentazione, documentazione](https://docs.aws.amazon.com/global-accelerator/) [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/) | 
| Proteggi un server di gioco basato su UDP da un attacco S DDo | Shield Advanced: protezione di un' EC2 istanza Amazon collegata a un indirizzo IP elastico | [Amazon Elastic Compute Cloud Documentation](https://docs.aws.amazon.com/ec2/) | 

Ad esempio, se si utilizza Shield Advanced per proteggere un indirizzo IP elastico, Shield Advanced protegge qualsiasi risorsa ad esso associata. Durante un attacco, Shield Advanced distribuisce automaticamente la rete ACLs ai confini della AWS rete. Quando la rete ACLs si trova ai confini della rete, Shield Advanced può fornire protezione contro eventi DDo S più grandi. In genere, la rete ACLs viene applicata vicino alle EC2 istanze Amazon all'interno del tuo Amazon VPC. L'ACL di rete può mitigare gli attacchi solo se il tuo Amazon VPC e la tua istanza sono in grado di gestire. Se l'interfaccia di rete collegata alla tua EC2 istanza Amazon può elaborare fino a 10 Gbps, i volumi superiori a 10 Gbps rallentano e possono bloccare il traffico verso quell'istanza. Durante un attacco, Shield Advanced promuove l'ACL di rete fino al AWS confine, che può elaborare più terabyte di traffico. La lista di controllo degli accessi di rete è in grado di fornire protezione per le risorse ben oltre la capacità tipica della rete. [Per ulteriori informazioni sulla rete ACLs, consulta Rete. ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html) 

# Configurazione AWS Shield Advanced
<a name="getting-started-ddos"></a>

Questo tutorial illustra come iniziare a AWS Shield Advanced utilizzare la console Shield Advanced. 

**Nota**  
Shield Advanced richiede un abbonamento, mentre AWS Shield Standard non lo richiede. Le protezioni fornite da Shield Standard sono disponibili gratuitamente per tutti i AWS clienti.

Shield Advanced fornisce una protezione avanzata di rilevamento e mitigazione DDo S per gli attacchi a livello di rete (livello 3), livello di trasporto (livello 4) e livello di applicazione (livello 7). Per ulteriori informazioni su Shield Advanced, vedere[Panoramica di AWS Shield Advanced](ddos-advanced-summary.md).

La comunità AWS tecnica ha pubblicato un esempio di processo automatizzato per la configurazione di Shield Advanced utilizzando gli strumenti Infrastructure as code (IaC) AWS CloudFormation e Terraform. Puoi utilizzare AWS Firewall Manager questa soluzione se i tuoi account fanno parte di un'organizzazione in AWS Organizations e se stai proteggendo qualsiasi tipo di risorsa ad eccezione di Amazon Route 53 o AWS Global Accelerator. [Per esplorare questa opzione, consulta il repository di codice su [aws-samples/ aws-shield-advanced-one-click-deployment e il tutorial su One-click deployment](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) di Shield Advanced.](https://youtu.be/LCA3FwMk_QE) 

**Nota**  
È importante configurare completamente Shield Advanced prima di un evento Distributed Denial of Service (DDoS). Completa la configurazione per garantire che l'applicazione sia protetta e che tu sia pronto a rispondere se l'applicazione viene colpita da un attacco DDo S.

Esegui i seguenti passaggi in sequenza per iniziare a utilizzare Shield Advanced. 

**Contents**
+ [Abbonarsi a AWS Shield Advanced](enable-ddos-prem.md)
+ [Aggiungere e configurare la protezione delle risorse con Shield Advanced](ddos-choose-resources.md)
  + [Configurazione delle protezioni DDo S a livello di applicazione (livello 7) con AWS WAF](ddos-get-started-web-acl-rbr.md)
  + [Configurazione del rilevamento basato sullo stato di salute per le tue protezioni con Shield Advanced e Route 53](ddos-get-started-health-checks.md)
  + [Configurazione di allarmi e notifiche con Shield Advanced e Amazon SNS](ddos-get-started-create-alarms.md)
  + [Revisione e completamento della configurazione di protezione in Shield Advanced](ddos-get-started-review-and-configure.md)
+ [Configurazione del supporto AWS Shield Response Team (SRT) per la risposta DDo agli eventi S](authorize-srt.md)
+ [Creazione di una dashboard DDo S CloudWatch e impostazione degli CloudWatch allarmi](deploy-waf-dashboard.md)

# Abbonarsi a AWS Shield Advanced
<a name="enable-ddos-prem"></a>

Questa pagina spiega come sottoscrivere i propri account a Shield Advanced, per iniziare a utilizzare il servizio.

È necessario abbonarsi a Shield Advanced per ognuno di essi Account AWS che si desidera proteggere. Non è necessario abbonarsi a Shield Standard.

**Fatturazione dell'abbonamento Shield Advanced**  
Se sei un AWS Channel Reseller, contatta il team del tuo account per informazioni e assistenza. Queste informazioni di fatturazione sono destinate ai clienti che non sono rivenditori di AWS canale. 

Per tutti gli altri, si applicano le seguenti linee guida per l'abbonamento e la fatturazione:
+ Per gli account membri di un' AWS Organizations organizzazione, AWS addebita gli abbonamenti Shield Advanced sul conto pagante dell'organizzazione, indipendentemente dal fatto che l'account di pagamento stesso sia sottoscritto. 
+ Quando sottoscrivi più account appartenenti alla stessa famiglia di conti di [fatturazione AWS Organizations consolidati, un unico prezzo di abbonamento copre tutti gli account sottoscritti della famiglia](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html). L'organizzazione deve possedere tutte Account AWS e tutte le proprie risorse. 
+ Quando sottoscrivi più account per più organizzazioni, puoi comunque pagare un'unica quota di abbonamento per tutte le organizzazioni, gli account e le risorse, purché tu ne sia il proprietario. Contatta il tuo account manager o l' AWS assistenza e richiedi un'esenzione dai costi di AWS Shield Advanced abbonamento per tutte le organizzazioni tranne una. 

Per informazioni dettagliate ed esempi sui prezzi, consulta [AWS Shield Prezzi](https://aws.amazon.com/shield/pricing/). 

**Prendi in considerazione la possibilità di semplificare gli abbonamenti con AWS Firewall Manager**  
Se i tuoi account fanno parte di un'organizzazione, ti consigliamo di utilizzarli, AWS Firewall Manager se possibile, per automatizzare gli abbonamenti e le protezioni per l'organizzazione. Firewall Manager supporta tutti i tipi di risorse protette ad eccezione di Amazon Route 53 e AWS Global Accelerator. Per utilizzare Firewall Manager, vedere [AWS Firewall Manager](fms-chapter.md) e[Impostazione AWS Firewall Manager AWS Shield Advanced delle politiche](getting-started-fms-shield.md). 

Se non utilizzi Firewall Manager, per ogni account con risorse da proteggere, sottoscrivi e aggiungi protezioni utilizzando le seguenti procedure. 

**Per sottoscrivere un account a AWS Shield Advanced**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nella barra **AWS Shield**di navigazione, scegli **Guida introduttiva**. Scegli **Iscriviti a Shield Advanced**. 

1. Nella pagina **Iscriviti a Shield Advanced**, leggi ogni termine del contratto, quindi seleziona tutte le caselle di controllo per indicare che accetti i termini. Per gli account appartenenti a un gruppo di fatturazione consolidato, devi accettare i termini di ciascun account. 
**Importante**  
Quando sei abbonato, per annullare l'iscrizione devi contattare. [Supporto AWS](https://console.aws.amazon.com/support)   
[Per disabilitare il rinnovo automatico dell'abbonamento, è necessario utilizzare l'operazione Shield API o il comando [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)CLI update-subscription.](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)

   Scegli **Iscriviti a Shield Advanced**. Questo sottoscrive il tuo account a Shield Advanced e attiva il servizio.

Il tuo account è abbonato. Continua con i seguenti passaggi per proteggere le risorse del tuo account con Shield Advanced. 

**Nota**  
Shield Advanced non protegge automaticamente le tue risorse dopo l'iscrizione. È necessario specificare le risorse che si desidera proteggere da Shield Advanced. 

# Aggiungere e configurare la protezione delle risorse con Shield Advanced
<a name="ddos-choose-resources"></a>

Questa pagina fornisce istruzioni per aggiungere e configurare protezioni per le tue risorse. 

Shield Advanced protegge solo le risorse specificate, tramite Shield Advanced o in una politica Firewall Manager Shield Advanced. Non protegge automaticamente le risorse di un account sottoscritto. 

**Nota**  
Se utilizzi una politica AWS Firewall Manager Shield Advanced per le tue protezioni, non è necessario eseguire questo passaggio. La policy viene configurata con i tipi di risorse da proteggere e Firewall Manager aggiunge automaticamente protezioni alle risorse che rientrano nell'ambito della policy. 

Se non utilizzi Firewall Manager, segui le seguenti procedure per ogni account che dispone di risorse da proteggere.

**Per scegliere le risorse da proteggere utilizzando Shield Advanced**

1. Scegli **Aggiungi risorse da proteggere** dalla pagina di conferma dell'abbonamento della procedura precedente o dalla pagina **Risorse protette** o **Panoramica**. 

1. Nella pagina **Scegli le risorse da proteggere con Shield Advanced**, in **Specificare la regione e i tipi di risorse**, fornisci le specifiche della regione e del tipo di risorsa per le risorse che desideri proteggere. È possibile proteggere le risorse in più regioni selezionando **Tutte le regioni** e restringere la selezione alle risorse globali selezionando **Globale**. È possibile deselezionare tutti i tipi di risorse che non si desidera proteggere. Per informazioni sulle protezioni per i tipi di risorse, consulta. [Elenco di risorse che AWS Shield Advanced proteggono](ddos-protections-by-resource-type.md)

1. Scegli **Carica risorse**. Shield Advanced compila la sezione **Seleziona risorse** con le AWS risorse che corrispondono ai tuoi criteri. 

1. Nella sezione **Seleziona risorse**, puoi filtrare l'elenco delle risorse inserendo una stringa da cercare negli elenchi delle risorse. 

   Seleziona le risorse che desideri proteggere.

1. Nella sezione **Tag**, se desideri aggiungere tag alle protezioni Shield Advanced che stai creando, specificali. Per informazioni sull'etichettatura AWS delle risorse, consulta [Lavorare con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Scegli **Proteggi con Shield Advanced**. Ciò aggiunge le protezioni Shield Advanced alle risorse.

Continua attraverso le schermate della procedura guidata della console per completare la configurazione delle protezioni delle risorse. 

**Topics**
+ [Configurazione delle protezioni DDo S a livello di applicazione (livello 7) con AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [Configurazione del rilevamento basato sullo stato di salute per le tue protezioni con Shield Advanced e Route 53](ddos-get-started-health-checks.md)
+ [Configurazione di allarmi e notifiche con Shield Advanced e Amazon SNS](ddos-get-started-create-alarms.md)
+ [Revisione e completamento della configurazione di protezione in Shield Advanced](ddos-get-started-review-and-configure.md)

# Configurazione delle protezioni DDo S a livello di applicazione (livello 7) con AWS WAF
<a name="ddos-get-started-web-acl-rbr"></a>

Questa pagina fornisce istruzioni per configurare le protezioni a livello di applicazione con il web. AWS WAF ACLs 

Per proteggere una risorsa a livello di applicazione, Shield Advanced utilizza un ACL AWS WAF Web con una regola basata sulla velocità come punto di partenza. AWS WAF è un firewall per applicazioni Web che consente di monitorare le richieste HTTP e HTTPS inoltrate alle risorse del livello applicativo e consente di controllare l'accesso ai contenuti in base alle caratteristiche delle richieste. Una regola basata sulla frequenza limita il volume del traffico in base ai criteri di aggregazione delle richieste, fornendo una protezione DDo S di base all'applicazione. Per ulteriori informazioni, consultare [Come AWS WAF funziona](how-aws-waf-works.md) e [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md).

Puoi anche abilitare facoltativamente la mitigazione automatica Shield Advanced a livello di applicazione DDo S, in modo che Shield Advanced limiti la velocità delle richieste provenienti da fonti DDo S note e fornisca automaticamente protezioni specifiche in caso di incidente. 

**Importante**  
Se gestisci le tue protezioni Shield Advanced AWS Firewall Manager utilizzando una policy Shield Advanced, non puoi gestire le protezioni a livello di applicazione qui. È necessario gestirli nella politica Firewall Manager Shield Advanced.

**Abbonamenti e AWS WAF costi Shield Advanced**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.

L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).

L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.

Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).

**Per configurare le protezioni di livello 7 DDo S per una regione**

Shield Advanced offre la possibilità di configurare la mitigazione di livello 7 DDo S per ogni regione in cui si trovano le risorse scelte. Se stai aggiungendo protezioni in più regioni, la procedura guidata ti guida attraverso la seguente procedura per ciascuna regione. 

1. La pagina **Configura le protezioni del livello 7 DDo S** elenca ogni risorsa che non è ancora associata a un ACL web. Per ognuna di queste, scegli un ACL web esistente o crea un nuovo ACL web. Per ogni risorsa a cui è già associato un ACL web, puoi cambiare web ACLs dissociando prima quello corrente. AWS WAF Per ulteriori informazioni, consulta [Associare o dissociare la protezione a una risorsa AWS](web-acl-associating-aws-resource.md).

   Per i siti Web ACLs che non dispongono già di una regola basata sulla frequenza, la procedura guidata di configurazione richiede di aggiungerne una. Una regola basata sulla frequenza limita il traffico proveniente dagli indirizzi IP quando inviano un volume elevato di richieste. Le regole basate sulla frequenza aiutano a proteggere l'applicazione dai flussi di richieste Web e possono fornire avvisi in caso di picchi improvvisi di traffico che potrebbero indicare un potenziale attacco S. DDo Aggiungi una regola basata sulla velocità a un ACL Web selezionando **Aggiungi regola limite di velocità e quindi specificando un limite di velocità e un'azione per la regola**. È possibile configurare protezioni aggiuntive nell'ACL Web tramite. AWS WAF

   Per informazioni sull'utilizzo di regole web ACLs e basate sulla tariffa nelle protezioni Shield Advanced, incluse opzioni di configurazione aggiuntive per le regole basate sulla tariffa, consulta. [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

1. Per la **mitigazione automatica del livello di applicazione DDo S**, se desideri che Shield Advanced mitighi automaticamente gli attacchi DDo S contro le risorse del livello di applicazione, scegli **Abilita** e quindi seleziona l'azione della AWS WAF regola che desideri che Shield Advanced utilizzi nelle sue regole personalizzate. Questa impostazione si applica a tutto il Web ACLs per le risorse gestite in questa sessione guidata. 

   Con la mitigazione automatica del livello di applicazione DDo S, Shield Advanced mantiene una regola basata sulla frequenza nell'ACL AWS WAF web della risorsa che limita il volume di richieste da fonti S note. DDo Inoltre, Shield Advanced confronta i modelli di traffico attuali con le linee di base del traffico storico per rilevare deviazioni che potrebbero indicare un attacco S. DDo Quando Shield Advanced rileva un attacco DDo S, risponde creando, valutando e implementando regole personalizzate AWS WAF per rispondere. Sei tu a specificare se le regole personalizzate contano o bloccano gli attacchi per tuo conto. 
**Nota**  
La mitigazione automatica del livello di applicazione DDo S funziona solo con i pacchetti di protezione (web ACLs) creati utilizzando l'ultima versione di AWS WAF (v2). 

   Per ulteriori informazioni sulla mitigazione automatica del livello DDo S di applicazione Shield Advanced, incluse avvertenze e best practice per l'utilizzo di questa funzionalità, vedere. [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md)

1. Scegli **Next (Successivo)**. La procedura guidata della console passa alla pagina di rilevamento basata sullo stato di salute. 

# Configurazione del rilevamento basato sullo stato di salute per le tue protezioni con Shield Advanced e Route 53
<a name="ddos-get-started-health-checks"></a>

Questa pagina fornisce istruzioni per configurare Shield Advanced per utilizzare il rilevamento basato sullo stato di salute. Questo può aiutare a migliorare la reattività e la precisione nel rilevamento e nella mitigazione degli attacchi.

Controlli sanitari ben configurati sono essenziali per un rilevamento accurato degli eventi. È possibile configurare il rilevamento basato sullo stato di salute per qualsiasi tipo di risorsa ad eccezione delle zone ospitate su Route 53. 

Per utilizzare il rilevamento basato sullo stato, definisci un controllo dello stato della tua risorsa in Route 53, quindi associa il controllo dello stato alla protezione Shield Advanced. È importante che il controllo dello stato che configuri rifletta accuratamente lo stato della risorsa. Per informazioni ed esempi sulla configurazione dei controlli sanitari da utilizzare con Shield Advanced, vedere[Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md). 

I controlli Health sono necessari per il supporto proattivo al coinvolgimento dello Shield Response Team (SRT). Per informazioni sul coinvolgimento proattivo, consulta. [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md)

**Nota**  
I controlli Health devono essere considerati sani quando vengono associati alle protezioni Shield Advanced.

**Per configurare il rilevamento basato sullo stato di salute**

1. In **Associated Health Check (Controllo stato associato)**, scegliere l'ID del controllo dello stato che si desidera associare alla protezione. 
**Nota**  
Se non vedi il controllo sanitario di cui hai bisogno, vai alla console Route 53 e verifica il controllo e il relativo ID. Per informazioni, consultare [Creazione e aggiornamento di controlli dello stato](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Scegli **Next (Successivo)**. La procedura guidata della console passa alla pagina degli allarmi e delle notifiche. 

# Configurazione di allarmi e notifiche con Shield Advanced e Amazon SNS
<a name="ddos-get-started-create-alarms"></a>

Questa pagina fornisce istruzioni per configurare facoltativamente le notifiche di Amazon Simple Notification Service per gli CloudWatch allarmi Amazon rilevati e l'attività delle regole basate sulla tariffa. È possibile utilizzarli per ricevere notifiche quando Shield rileva un evento su una risorsa protetta o quando viene superato un limite di velocità configurato in una regola basata sulla velocità. 

Per informazioni sulle CloudWatch metriche Shield Advanced, consulta[AWS Shield Advanced metriche](shield-metrics.md). Per informazioni su Amazon SNS, consulta la [Amazon Simple Notification Service Developer Guide](https://docs.aws.amazon.com/sns/latest/dg/). 

**Per configurare allarmi e notifiche**

1. Seleziona gli argomenti di Amazon SNS per i quali desideri ricevere la notifica. Puoi utilizzare un unico argomento di Amazon SNS per tutte le risorse protette e le regole basate sulle tariffe oppure puoi scegliere argomenti diversi, personalizzati in base alla tua organizzazione. Ad esempio, puoi creare un argomento SNS per ogni team responsabile della risposta agli incidenti per un set specifico di risorse.

1. Scegli **Next (Successivo)**. La procedura guidata della console passa alla pagina di revisione della protezione delle risorse.

# Revisione e completamento della configurazione di protezione in Shield Advanced
<a name="ddos-get-started-review-and-configure"></a>

**Per rivedere e completare le impostazioni**

1. Nella pagina **Rivedi e configura la mitigazione e la visibilità di DDo S**, rivedi le tue impostazioni. Per apportare modifiche, scegli **Modifica** nell'area che desideri modificare. In questo modo si torna alla pagina associata nella procedura guidata della console. Apporta le modifiche, quindi scegli **Avanti** nelle pagine successive fino a tornare alla pagina **Rivedi e configura la mitigazione e la visibilità di DDo S.**

1. Scegli **Termina la configurazione**. La pagina **Risorse protette** elenca le nuove risorse protette.

# Configurazione del supporto AWS Shield Response Team (SRT) per la risposta DDo agli eventi S
<a name="authorize-srt"></a>

Questa pagina fornisce istruzioni per configurare il supporto Shield Response Team (SRT).

L'SRT include tecnici della sicurezza specializzati nella risposta DDo agli eventi S. Facoltativamente, puoi aggiungere autorizzazioni che consentono all'SRT di gestire le risorse per tuo conto durante un evento S. DDo Inoltre, puoi configurare l'SRT in modo che interagisca in modo proattivo con te se i controlli di integrità della Route 53 associati alle tue risorse protette non sono funzionanti durante un evento rilevato. Entrambe queste aggiunte alle protezioni consentono risposte più rapide agli eventi S. DDo 

**Nota**  
Per utilizzare i servizi dello Shield Response Team (SRT), è necessario essere abbonati al piano Business [Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) Enterprise [Support](https://aws.amazon.com/premiumsupport/enterprise-support/). 

L'SRT può monitorare i dati e i registri delle AWS WAF richieste durante gli eventi a livello di applicazione per identificare il traffico anomalo. Possono aiutare a creare AWS WAF regole personalizzate per mitigare le fonti di traffico offensive. Se necessario, l'SRT potrebbe formulare raccomandazioni architettoniche per aiutarvi ad allineare meglio le vostre risorse ai consigli. AWS 

Per ulteriori informazioni sull'SRT, vedere. [Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)](ddos-srt-support.md)

**Per concedere le autorizzazioni all'SRT**

1. Nella pagina **Panoramica** della AWS Shield console, in **Configura supporto AWS SRT**, scegli **Modifica** accesso SRT. **Viene visualizzata la pagina di accesso Edit AWS Shield Response Team (SRT)**.

1. Per l'**impostazione dell'accesso SRT**, selezionate una delle opzioni: 
   + **Non concedere a SRT l'accesso al mio account**: Shield rimuove tutte le autorizzazioni che hai precedentemente concesso all'SRT per accedere al tuo account e alle tue risorse.
   + **Crea un nuovo ruolo per l'SRT per accedere al mio account**: Shield crea un ruolo che si fida del responsabile del servizio`drt.shield.amazonaws.com`, che rappresenta l'SRT, e gli allega la policy gestita. `AWSShieldDRTAccessPolicy` La policy gestita consente all'SRT di effettuare chiamate AWS WAF API per vostro conto AWS Shield Advanced e di accedere ai vostri log. AWS WAF Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: AWSShield DRTAccess politica](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Scegli un ruolo esistente per l'SRT per accedere ai miei account**: per questa opzione, devi modificare la configurazione del ruolo in AWS Identity and Access Management (IAM) come segue: 
     + Collegare la policy gestita `AWSShieldDRTAccessPolicy` al ruolo. Questa politica gestita consente all'SRT di effettuare AWS Shield Advanced chiamate AWS WAF API per vostro conto e di accedere ai vostri AWS WAF log. Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: AWSShield DRTAccess politica](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Per informazioni su come allegare la policy gestita al tuo ruolo, consulta [Allegare e scollegare](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) le politiche IAM. 
     + Modificare il ruolo per considerare attendibile il principale del servizio `drt.shield.amazonaws.com`. Questo è il servizio principale che rappresenta l'SRT. Per ulteriori informazioni, consulta [Elementi della policy JSON di IAM: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). 

1. Scegli **Salva** per salvare le modifiche. 

Per ulteriori informazioni su come concedere all'SRT l'accesso alle tue protezioni e ai tuoi dati, consulta. [Concessione dell'accesso all'SRT](ddos-srt-access.md) 

**Per abilitare il coinvolgimento proattivo di SRT**

1. **Nella pagina **Panoramica** della AWS Shield console, in **Coinvolgimento proattivo e contatti**, nell'area contatti, scegli Modifica.**

   Nella pagina **Modifica contatti**, fornisci le informazioni di contatto per le persone che desideri che SRT contatti per un coinvolgimento proattivo. 

   Se fornisci più di un contatto, nelle **Note**, indica le circostanze in cui ogni contatto deve essere utilizzato. Includi le designazioni dei contatti principali e secondari e fornisci gli orari di disponibilità e i fusi orari di ogni contatto. 

   Note di contatto di esempio: 
   + Questa è una hotline con personale 24 ore su 24, 7 giorni su 7, 365 giorni l'anno. Collabora con l'analista incaricato della risposta e troverà la persona appropriata per la chiamata. 
   + Contattatemi se la hotline non risponde entro 5 minuti.

1. Scegli **Save** (Salva). 

   La pagina **Panoramica riporta** le informazioni di contatto aggiornate.

1. Scegli **Modifica la funzione di coinvolgimento proattivo**, scegli **Abilita**, quindi scegli **Salva** per abilitare il coinvolgimento proattivo. 

Per ulteriori informazioni sul coinvolgimento proattivo, consulta. [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md)

# Creazione di una dashboard DDo S CloudWatch e impostazione degli CloudWatch allarmi
<a name="deploy-waf-dashboard"></a>

Questa pagina fornisce istruzioni per creare una dashboard DDo S CloudWatch e impostare gli CloudWatch allarmi.

Puoi monitorare la potenziale attività DDo S utilizzando Amazon CloudWatch, che raccoglie dati grezzi da Shield Advanced e li elabora in metriche leggibili quasi in tempo reale. Puoi utilizzare le statistiche CloudWatch per avere una prospettiva sulle prestazioni della tua applicazione o del tuo servizio web. Per ulteriori informazioni sull'utilizzo CloudWatch, consulta [What is CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) in the *Amazon CloudWatch User Guide*.
+ Per istruzioni sulla creazione di un CloudWatch pannello di controllo, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md). 
+ Per le descrizioni delle metriche di Shield Advanced che puoi aggiungere alla dashboard, consulta[AWS Shield Advanced metriche](shield-metrics.md). 

Shield Advanced riporta le metriche delle risorse con CloudWatch maggiore frequenza durante gli eventi DDo S rispetto a quando non è in corso alcun evento. Shield Advanced riporta le metriche una volta al minuto durante un evento e poi una volta subito dopo la fine dell'evento. Sebbene non sia in corso alcun evento, Shield Advanced riporta le metriche una volta al giorno, all'ora assegnata alla risorsa. Questo rapporto periodico mantiene le metriche attive e disponibili per l'uso negli allarmi personalizzati. CloudWatch 

Questo completa il tutorial per iniziare a usare Shield Advanced. Per sfruttare appieno le protezioni che hai scelto, continua a esplorare le funzionalità e le opzioni di Shield Advanced. Per iniziare, acquisisci familiarità con le opzioni a tua disposizione per visualizzare e rispondere agli eventi in tempo reale. [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md) [Risposta agli eventi DDo S in AWS](ddos-responding.md)

# Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)
<a name="ddos-srt-support"></a>

Questa pagina descrive la funzione dello Shield Response Team (SRT).

L'SRT fornisce un supporto aggiuntivo per i clienti Shield Advanced. Gli SRT sono ingegneri della sicurezza specializzati nella risposta DDo agli eventi S. Come ulteriore livello di supporto al vostro Supporto AWS piano, potete lavorare direttamente con l'SRT, sfruttando la loro esperienza come parte del flusso di lavoro di risposta agli eventi. Per informazioni sulle opzioni e per indicazioni sulla configurazione, consultate gli argomenti seguenti.

**Nota**  
Per utilizzare i servizi dello Shield Response Team (SRT), è necessario essere abbonati al piano Business [Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) Enterprise [Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
Shield Response Team (SRT) fornisce servizi nelle regioni in cui è disponibile Shield Advanced e per i clienti nelle GovCloud regioni AWS GovCloud (Stati Uniti orientali) e AWS GovCloud (Stati Uniti occidentali).

**Attività di supporto SRT**  
L'obiettivo principale di una collaborazione con SRT è proteggere la disponibilità e le prestazioni dell'applicazione. A seconda del tipo di evento DDo S e dell'architettura dell'applicazione, l'SRT può eseguire una o più delle seguenti azioni: 
+ **AWS WAF analisi e regole dei log**: per le risorse che utilizzano un ACL AWS WAF web, SRT può analizzare AWS WAF i log per identificare le caratteristiche di attacco nelle richieste web dell'applicazione. Con la vostra approvazione durante l'attivazione, l'SRT può applicare modifiche all'ACL web per bloccare gli attacchi che ha identificato. 
+ **Crea mitigazioni di rete personalizzate**: l'SRT può scrivere mitigazioni personalizzate per gli attacchi a livello di infrastruttura. L'SRT può collaborare con voi per comprendere il traffico previsto per la vostra applicazione, bloccare il traffico imprevisto e ottimizzare i limiti di frequenza dei pacchetti al secondo. Per ulteriori informazioni, consulta [Configurazione di mitigazioni personalizzate contro gli attacchi DDo S con SRT](ddos-srt-custom-mitigations.md).
+ **Ingegneria del traffico di rete**: SRT collabora a stretto contatto con i team AWS di rete per proteggere i clienti di Shield Advanced. Se necessario, AWS può modificare il modo in cui il traffico Internet arriva sulla AWS rete per allocare una maggiore capacità di mitigazione all'applicazione. 
+ **Raccomandazioni sull'architettura**: l'SRT può stabilire che la migliore mitigazione di un attacco richieda modifiche all'architettura per allinearsi meglio alle AWS migliori pratiche e contribuirà a supportare l'implementazione di queste pratiche. Per informazioni, consulta [AWS Best Practices for DDo](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency) S Resiliency. 

Le seguenti sezioni forniscono istruzioni per interagire con l'SRT

**Topics**
+ [Concessione dell'accesso all'SRT](ddos-srt-access.md)
+ [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md)
+ [Contattare l'SRT per ricevere assistenza in caso di sospetto evento DDo S](ddos-srt-contacting.md)
+ [Configurazione di mitigazioni personalizzate contro gli attacchi DDo S con SRT](ddos-srt-custom-mitigations.md)

# Concessione dell'accesso all'SRT
<a name="ddos-srt-access"></a>

Questa pagina fornisce istruzioni per concedere l'autorizzazione all'SRT di agire per vostro conto, in modo che possa accedere ai vostri AWS WAF registri ed effettuare chiamate e gestire le AWS Shield Advanced protezioni. AWS WAF APIs 

 Durante gli eventi del livello di applicazione DDo S, l'SRT può monitorare AWS WAF le richieste per identificare il traffico anomalo e aiutare a creare regole personalizzate AWS WAF per mitigare le fonti di traffico pericolose. 

Inoltre, puoi concedere all'SRT l'accesso ad altri dati che hai archiviato nei bucket Amazon S3, come acquisizioni di pacchetti o log da un Application Load Balancer, CloudFront Amazon o da fonti di terze parti.

**Nota**  
Per utilizzare i servizi dello Shield Response Team (SRT), è necessario essere abbonati al piano Business [Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) Enterprise [Support](https://aws.amazon.com/premiumsupport/enterprise-support/). 

**Per gestire le autorizzazioni per l'SRT**

1. Nella pagina **Panoramica** della AWS Shield console, in **Configura supporto AWS SRT**, scegli **Modifica** accesso SRT. **Viene visualizzata la pagina di accesso Edit AWS Shield Response Team (SRT)**.

1. Per l'**impostazione dell'accesso SRT**, selezionate una delle opzioni: 
   + **Non concedere a SRT l'accesso al mio account**: Shield rimuove tutte le autorizzazioni che hai precedentemente concesso all'SRT per accedere al tuo account e alle tue risorse.
   + **Crea un nuovo ruolo per l'SRT per accedere al mio account**: Shield crea un ruolo che si fida del responsabile del servizio`drt.shield.amazonaws.com`, che rappresenta l'SRT, e gli allega la policy gestita. `AWSShieldDRTAccessPolicy` La policy gestita consente all'SRT di effettuare chiamate AWS WAF API per vostro conto AWS Shield Advanced e di accedere ai vostri log. AWS WAF Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: AWSShield DRTAccess politica](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy).
   + **Scegli un ruolo esistente per l'SRT per accedere ai miei account**: per questa opzione, devi modificare la configurazione del ruolo in AWS Identity and Access Management (IAM) come segue: 
     + Collegare la policy gestita `AWSShieldDRTAccessPolicy` al ruolo. Questa politica gestita consente all'SRT di effettuare AWS Shield Advanced chiamate AWS WAF API per vostro conto e di accedere ai vostri AWS WAF log. Per ulteriori informazioni sulla policy gestita, consulta [AWS politica gestita: AWSShield DRTAccess politica](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy). Per informazioni su come allegare la policy gestita al tuo ruolo, consulta [Allegare e scollegare](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html) le politiche IAM. 
     + Modificare il ruolo per considerare attendibile il principale del servizio `drt.shield.amazonaws.com`. Questo è il servizio principale che rappresenta l'SRT. Per ulteriori informazioni, consulta [Elementi della policy JSON di IAM: Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). 

1. Per **(Facoltativo): concedi l'accesso SRT a un bucket Amazon S3**, se devi condividere dati che non si trovano nei AWS WAF tuoi log ACL Web, configuralo. Ad esempio, i log di accesso di Application Load Balancer, i log di Amazon o CloudFront i log provenienti da fonti di terze parti. 
**Nota**  
Non è necessario eseguire questa operazione per i log ACL Web AWS WAF . L'SRT ottiene l'accesso a questi dati quando concedi l'accesso al tuo account. 

   1. Configura i bucket Amazon S3 in base alle seguenti linee guida: 
      + Le posizioni dei bucket devono essere le Account AWS stesse a cui hai concesso l'accesso generale all'SRT, nel passaggio precedente per l'accesso allo **AWS Shield Response Team (SRT**). 
      + I bucket possono essere in testo semplice o crittografati con SSE-S3. Per ulteriori informazioni sulla crittografia SSE-S3 di Amazon S3, consulta [Protezione dei dati utilizzando la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) nella Guida per l'utente di Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html).

        L'SRT non può visualizzare o elaborare i log archiviati in bucket crittografati con chiavi archiviate in (). AWS Key Management Service AWS KMS

   1. **Nella sezione Shield Advanced **(opzionale): concedi l'accesso SRT a un bucket Amazon S3**, per ogni bucket Amazon S3 in cui sono archiviati i dati o i log, inserisci il nome del bucket e scegli Aggiungi bucket.** È possibile aggiungere fino a 10 bucket.

      Ciò concede all'SRT le seguenti autorizzazioni per ogni bucket:, e. `s3:GetBucketLocation` `s3:GetObject` `s3:ListBucket`

      Se desideri concedere all'SRT l'autorizzazione ad accedere a più di 10 bucket, puoi farlo modificando le politiche aggiuntive del bucket e concedendo manualmente le autorizzazioni elencate qui per l'SRT.

      Di seguito viene mostrato un elenco di politiche di esempio.

      ```
      {
          "Sid": "AWSDDoSResponseTeamAccessS3Bucket",
          "Effect": "Allow",
          "Principal": {
              "Service": "drt.shield.amazonaws.com"
          },
          "Action": [
              "s3:GetBucketLocation",
              "s3:GetObject",
              "s3:ListBucket"
          ],
          "Resource": [
              "arn:aws:s3:::bucket-name",
              "arn:aws:s3:::bucket-name/*"
          ]
      }
      ```

1. Scegli **Salva** per salvare le modifiche.

[È inoltre possibile autorizzare l'SRT tramite l'API creando un ruolo IAM, allegandovi la policy AWSShield DRTAccess Policy e quindi passando il ruolo all'operazione Associate. DRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html) 

# Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente
<a name="ddos-srt-proactive-engagement"></a>

Questa pagina fornisce istruzioni per impostare un coinvolgimento proattivo con l'SRT.

Con un coinvolgimento proattivo, l'SRT contatta direttamente l'utente quando la disponibilità o le prestazioni dell'applicazione sono compromesse da un possibile attacco. Consigliamo questo modello di coinvolgimento perché fornisce la risposta SRT più rapida e consente all'SRT di iniziare la risoluzione dei problemi anche prima di stabilire un contatto con voi. 

L'engagement proattivo è disponibile per gli eventi a livello di rete e trasporto su indirizzi IP elastici e acceleratori AWS Global Accelerator standard e per i flussi di richieste Web sulle distribuzioni Amazon e sugli Application Load Balancer. CloudFront Il coinvolgimento proattivo è disponibile solo per le protezioni delle risorse Shield Advanced a cui è associato un controllo dello stato di Amazon Route 53. Per informazioni sulla gestione e l'utilizzo dei controlli sanitari, consulta. [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md)

Durante un evento rilevato da Shield Advanced, l'SRT utilizza lo stato dei controlli sullo stato di salute per determinare se l'evento è idoneo per un coinvolgimento proattivo. In tal caso, l'SRT vi contatterà in base alle indicazioni di contatto fornite nella configurazione del coinvolgimento proattivo. 

Puoi configurare fino a dieci contatti per un coinvolgimento proattivo e puoi fornire note per aiutare l'SRT a contattarti. I vostri contatti proattivi dovrebbero essere disponibili per interagire con l'SRT durante gli eventi. Se non disponi di un centro operativo aperto 24 ore su 24, 7 giorni su 7, puoi fornire un contatto tramite cercapersone e indicare questa preferenza di contatto nelle tue note di contatto.

Il coinvolgimento proattivo richiede che tu faccia quanto segue: 
+ È necessario essere abbonati al piano [Business Support o al piano](https://aws.amazon.com/premiumsupport/business-support/) [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
+ Devi associare un controllo dello stato di Amazon Route 53 a qualsiasi risorsa che desideri proteggere con un coinvolgimento proattivo. L'SRT utilizza lo stato dei controlli sanitari per determinare se un evento richiede un coinvolgimento proattivo, quindi è importante che i controlli sanitari riflettano accuratamente lo stato delle risorse protette. Per ulteriori informazioni e indicazioni, vedere. [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md)
+ Per una risorsa a cui è associato un ACL AWS WAF Web, è necessario creare l'ACL Web utilizzando AWS WAF (v2), che è la versione più recente di. AWS WAF
+ È necessario fornire almeno un contatto affinché l'SRT possa utilizzare per un coinvolgimento proattivo durante un evento. Mantieni le tue informazioni di contatto complete e aggiornate. 

**Per consentire un coinvolgimento proattivo SRT**

1. **Nella pagina **Panoramica** della AWS Shield console, in **Coinvolgimento proattivo e contatti**, nell'area contatti, scegli Modifica.**

   Nella pagina **Modifica contatti**, fornisci le informazioni di contatto per le persone che desideri che SRT contatti per un coinvolgimento proattivo. 

   Se fornisci più di un contatto, nelle **Note**, indica le circostanze in cui ogni contatto deve essere utilizzato. Includi le designazioni dei contatti principali e secondari e fornisci gli orari di disponibilità e i fusi orari di ogni contatto. 

   Note di contatto di esempio: 
   + Questa è una hotline con personale 24 ore su 24, 7 giorni su 7, 365 giorni l'anno. Collabora con l'analista incaricato della risposta e troverà la persona appropriata per la chiamata. 
   + Contattatemi se la hotline non risponde entro 5 minuti.

1. Scegli **Save** (Salva). 

   La pagina **Panoramica riporta** le informazioni di contatto aggiornate.

1. Scegli **Modifica la funzione di coinvolgimento proattivo**, scegli **Abilita**, quindi scegli **Salva** per abilitare il coinvolgimento proattivo. 

# Contattare l'SRT per ricevere assistenza in caso di sospetto evento DDo S
<a name="ddos-srt-contacting"></a>

È possibile contattare l'SRT in uno dei seguenti modi: 

**Caso di supporto**  
Puoi aprire una custodia **AWS Shield**nella console del **AWS Support Center**. 

Per indicazioni sulla creazione di una richiesta di assistenza, consulta il [Supporto AWS Centro](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html). 

Seleziona la gravità appropriata alla tua situazione e fornisci i tuoi dati di contatto. Nella descrizione, fornisci quanti più dettagli possibile. Fornisci informazioni su eventuali risorse protette che ritieni possano essere interessate e sullo stato attuale dell'esperienza dell'utente finale. Ad esempio, se l'esperienza dell'utente è compromessa o parti dell'applicazione non sono attualmente disponibili, fornire tali informazioni.
+ **Per sospetti attacchi DDo S**: se la disponibilità o le prestazioni dell'applicazione sono attualmente influenzate da un possibile attacco DDo S, scegliete le seguenti opzioni di gravità e contatto: 
  + Per quanto riguarda la gravità, scegli la gravità più alta disponibile per il tuo piano di supporto:
    + Per il supporto aziendale, si tratta di un **sistema di produzione inattivo: < 1 ora**. 
    + Per il supporto Enterprise, si tratta di un **sistema business-critical inattivo: < 15 minuti**. 
  + Per l'opzione di contatto, seleziona **Telefono** o **Chat** e fornisci i tuoi dati. L'utilizzo di un metodo di contatto dal vivo fornisce la risposta più rapida.

**Coinvolgimento proattivo**  
Con un coinvolgimento AWS Shield Advanced proattivo, SRT ti contatta direttamente se il controllo dello stato di Amazon Route 53 associato alla tua risorsa protetta non funziona correttamente durante un evento rilevato. Per ulteriori informazioni su questa opzione, consulta [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md).

# Configurazione di mitigazioni personalizzate contro gli attacchi DDo S con SRT
<a name="ddos-srt-custom-mitigations"></a>

Questa pagina fornisce istruzioni per lavorare con l'SRT per creare mitigazioni personalizzate contro gli attacchi S. DDo

Per Elastic IPs (EIPs) e i tuoi acceleratori AWS Global Accelerator standard, puoi utilizzare SRT per configurare mitigazioni personalizzate. Ciò è utile nel caso in cui si conosca una logica specifica da applicare quando viene effettuata una mitigazione. Ad esempio, potresti voler consentire solo il traffico proveniente da determinati paesi, imporre limiti di velocità specifici, configurare convalide opzionali, non consentire frammenti o consentire solo il traffico che corrisponde a uno schema specifico nel payload dei pacchetti. 

Di seguito sono riportati alcuni esempi di mitigazioni personalizzate comuni:
+ **Pattern matching**: se gestisci un servizio che interagisce con applicazioni lato client, puoi scegliere di eseguire la corrispondenza su modelli noti che sono unici per tali applicazioni. Ad esempio, puoi gestire un servizio di gioco o di comunicazione che richiede all'utente finale l'installazione di un software specifico che distribuisci. Puoi includere un numero magico in ogni pacchetto inviato dall'applicazione al tuo servizio. È possibile eseguire la corrispondenza su un massimo di 128 byte (separati o contigui) di un payload e delle intestazioni di un pacchetto TCP o UDP non frammentati. La corrispondenza può essere espressa in notazione esadecimale come offset specifico dall'inizio del payload del pacchetto o offset dinamico dopo un valore noto. Ad esempio, la mitigazione può cercare il byte e quindi aspettarsi i quattro byte `0x01` successivi. `0x12345678`
+ **DNS specifico**: se gestisci il tuo servizio DNS autoritativo utilizzando servizi come Global Accelerator o Amazon Elastic Compute Cloud (Amazon EC2), puoi richiedere una mitigazione personalizzata che convalida i pacchetti per garantire che siano query DNS valide e applicare un punteggio di sospetto che valuti gli attributi specifici del traffico DNS. 

Per informazioni sulla collaborazione con SRT per creare mitigazioni personalizzate, crea una richiesta di supporto qui sotto. AWS Shield Per ulteriori informazioni sulla creazione di Supporto AWS casi, consulta [Guida introduttiva](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Supporto AWS

# Protezione delle risorse in AWS Shield Advanced
<a name="ddos-resource-protections"></a>

Puoi aggiungere e configurare AWS Shield Advanced protezioni per le tue risorse. È possibile gestire le protezioni per una singola risorsa e raggruppare le risorse protette in raccolte logiche per una migliore gestione degli eventi. Puoi anche tenere traccia delle modifiche alle tue protezioni Shield Advanced utilizzando AWS Config. 

**Nota**  
Shield Advanced protegge solo le risorse specificate in Shield Advanced o tramite una politica AWS Firewall Manager Shield Advanced. Non protegge automaticamente le risorse.

Se utilizzi una policy AWS Firewall Manager Shield Advanced, non è necessario gestire le protezioni per le risorse che rientrano nell'ambito della policy. Firewall Manager gestisce automaticamente le protezioni per gli account e le risorse che rientrano nell'ambito di una policy, in base alla configurazione della policy. Per ulteriori informazioni, consulta [Utilizzo AWS Shield Advanced delle politiche in Firewall Manager](shield-policies.md).

**Topics**
+ [Elenco di risorse che AWS Shield Advanced proteggono](ddos-protections-by-resource-type.md)
+ [Protezione delle EC2 istanze Amazon e dei Network Load Balancer con Shield Advanced](ddos-protections-ec2-nlb.md)
+ [Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md)
+ [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md)
+ [Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md)
+ [Modificare AWS Shield Advanced le protezioni](manage-protection.md)
+ [Creazione di allarmi e notifiche per le risorse protette da Shield Advanced](add-alarm-ddos.md)
+ [Rimuovere AWS Shield Advanced la protezione da una AWS risorsa](remove-protection.md)
+ [Raggruppamento delle protezioni AWS Shield Advanced](ddos-protection-groups.md)
+ [Modifiche alla protezione delle risorse Tracking Shield Advanced in AWS Config](ddos-add-config.md)

# Elenco di risorse che AWS Shield Advanced proteggono
<a name="ddos-protections-by-resource-type"></a>

Questa sezione fornisce informazioni sulle protezioni Shield Advanced per ogni tipo di risorsa. 

Shield Advanced protegge AWS le risorse a livello di rete e trasporto (livelli 3 e 4) e a livello di applicazione (livello 7). È possibile proteggere alcune risorse direttamente e altre tramite l'associazione con risorse protette. Shield Advanced supporta IPv4 e non supporta IPv6.

**Nota**  
Shield Advanced protegge solo le risorse specificate in Shield Advanced o tramite una politica AWS Firewall Manager Shield Advanced. Non protegge automaticamente le risorse.

È possibile utilizzare Shield Advanced per il monitoraggio e la protezione avanzati con i seguenti tipi di risorse:
+  CloudFront Distribuzioni Amazon. Per la distribuzione CloudFront continua, Shield Advanced protegge qualsiasi distribuzione temporanea associata a una distribuzione primaria protetta. 
+ Zone ospitate Amazon Route 53.
+ AWS Global Accelerator acceleratori standard.
+ Indirizzi IP Amazon EC2 Elastic. Shield Advanced protegge le risorse associate agli indirizzi IP elastici protetti. 
+  EC2 Istanze Amazon, tramite associazione a indirizzi IP Amazon EC2 Elastic. 
+ I seguenti sistemi di bilanciamento del carico Elastic Load Balancing (ELB):
  + Application Load Balancer.
  + Classic Load Balancer.
  + Network Load Balancer, tramite associazioni a indirizzi IP Amazon EC2 Elastic. 

**Nota**  
Non puoi usare Shield Advanced per proteggere nessun altro tipo di risorsa. Ad esempio, non puoi proteggere gli acceleratori di routing AWS Global Accelerator personalizzati o i Gateway Load Balancer.

**Nota**  
I gateway NAT gestiscono solo il traffico in uscita, mentre Shield Advanced protegge dal S. in entrata. DDo Per la protezione del traffico in uscita, usa. [AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html)

È possibile monitorare e proteggere fino a 1.000 risorse per ogni tipo di risorsa. Account AWS Ad esempio, in un singolo account, puoi proteggere 1.000 indirizzi IP Amazon EC2 Elastic, 1.000 CloudFront distribuzioni e 1.000 Application Load Balancer. Puoi richiedere un aumento del numero di risorse che puoi proteggere con Shield Advanced tramite la console Service Quotas all'indirizzo. [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)

# Protezione delle EC2 istanze Amazon e dei Network Load Balancer con Shield Advanced
<a name="ddos-protections-ec2-nlb"></a>

Questa pagina spiega come utilizzare AWS Shield Advanced le protezioni per le EC2 istanze Amazon e i Network Load Balancer.

Puoi proteggere EC2 le istanze Amazon e i Network Load Balancer collegando prima queste risorse agli indirizzi IP elastici e quindi proteggendo gli indirizzi IP elastici in Shield Advanced.

Quando proteggi gli indirizzi IP elastici, Shield Advanced identifica e protegge le risorse a cui sono collegati. Shield Advanced identifica automaticamente il tipo di risorsa collegata a un indirizzo IP elastico e applica i rilevamenti e le mitigazioni appropriati per tale risorsa. Ciò include la configurazione di reti specifiche per ACLs l'indirizzo IP elastico. Per ulteriori informazioni sull'utilizzo degli indirizzi IP elastici con AWS le tue risorse, consulta le seguenti guide: documentazione di [Amazon Elastic Compute Cloud o documentazione](https://docs.aws.amazon.com/ec2/) [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/).

Durante un attacco, Shield Advanced distribuisce automaticamente la rete ACLs ai confini della AWS rete. Quando la rete ACLs si trova ai confini della rete, Shield Advanced può fornire protezione contro eventi DDo S più grandi. In genere, la rete ACLs viene applicata vicino alle EC2 istanze Amazon all'interno del tuo Amazon VPC. L'ACL di rete può mitigare gli attacchi solo se il tuo Amazon VPC e la tua istanza sono in grado di gestire. Ad esempio, se l'interfaccia di rete collegata alla tua EC2 istanza Amazon può elaborare fino a 10 Gbps, i volumi superiori a 10 Gbps rallenteranno e probabilmente bloccheranno il traffico verso quell'istanza. Durante un attacco, Shield Advanced promuove l'ACL di rete fino al AWS confine, che può elaborare più terabyte di traffico. La lista di controllo degli accessi di rete è in grado di fornire protezione per le risorse ben oltre la capacità tipica della rete. [Per ulteriori informazioni sulla rete ACLs, consulta Rete. ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html) 

Alcuni strumenti di scalabilità, ad esempio AWS Elastic Beanstalk, non consentono di collegare automaticamente un indirizzo IP elastico a un Network Load Balancer. In questi casi, è necessario collegare manualmente l'indirizzo IP elastico.

# Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF
<a name="ddos-app-layer-protections"></a>

Questa pagina spiega come Shield Advanced e Shield AWS WAF collaboriamo per proteggere le risorse a livello di applicazione (livello 7).

Per proteggere le risorse a livello di applicazione con Shield Advanced, si inizia associando un ACL AWS WAF Web alla risorsa e aggiungendovi una o più regole basate sulla frequenza. È inoltre possibile abilitare la mitigazione automatica del livello di applicazione DDo S, che consente a Shield Advanced di creare e gestire automaticamente le regole ACL Web per conto dell'utente in risposta agli attacchi DDo S. 

Quando proteggi una risorsa a livello di applicazione con Shield Advanced, Shield Advanced analizza il traffico nel tempo per stabilire e mantenere linee di base. Shield Advanced utilizza queste linee di base per rilevare anomalie nei modelli di traffico che potrebbero indicare un attacco S. DDo Il punto in cui Shield Advanced rileva un attacco dipende dal traffico che Shield Advanced è stato in grado di osservare prima dell'attacco e dall'architettura utilizzata per le applicazioni Web. Le variazioni dell'architettura che possono influire sul comportamento di Shield Advanced includono il tipo di istanza utilizzata, la dimensione dell'istanza e se il tipo di istanza supporta reti avanzate. Puoi anche configurare Shield Advanced per implementare automaticamente le mitigazioni per gli attacchi a livello di applicazione.

**Abbonamenti e AWS WAF costi Shield Advanced**  
L'abbonamento a Shield Advanced copre i costi di utilizzo delle AWS WAF funzionalità standard per le risorse che proteggi con Shield Advanced. AWS WAF Le tariffe standard coperte dalle protezioni Shield Advanced sono il costo per pacchetto di protezione (Web ACL), il costo per regola e il prezzo base per milione di richieste di ispezione delle richieste Web, fino a 1.500 WCUs e fino alla dimensione corporea predefinita.

L'attivazione della mitigazione automatica del livello di applicazione DDo S di Shield Advanced aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità ACL Web (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md), [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).

L'abbonamento a Shield Advanced non copre l'uso AWS WAF di risorse che non proteggi utilizzando Shield Advanced. Inoltre, non copre eventuali AWS WAF costi aggiuntivi non standard per le risorse protette. Esempi di AWS WAF costi non standard sono quelli per Bot Control, per l'azione delle CAPTCHA regole, per i siti web ACLs che ne utilizzano più di 1.500 WCUs e per l'ispezione del corpo della richiesta oltre la dimensione corporea predefinita. L'elenco completo è disponibile nella pagina dei AWS WAF prezzi. L'abbonamento a Shield Advanced include l'accesso al gruppo Layer 7 DDo Anti-S Amazon Managed Rule. Come parte del tuo abbonamento, riceverai fino a 50 miliardi di richieste alle AWS WAF risorse protette Shield Advanced in un mese solare. Le richieste superiori a 50 miliardi verranno fatturate secondo la pagina dei AWS Shield Advanced prezzi.

Per informazioni complete ed esempi di prezzi, consulta la pagina [Prezzi e [AWS WAF prezzi](https://aws.amazon.com/waf/pricing/) di Shield](https://aws.amazon.com/shield/pricing/).

**Topics**
+ [Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)
+ [Protezione del livello applicativo con regole AWS WAF basate sulla frequenza e Shield Advanced](ddos-app-layer-rbr.md)
+ [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md)

# Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced
<a name="ddos-app-layer-detection-mitigation"></a>

Questa sezione descrive i fattori che influenzano il rilevamento e la mitigazione degli eventi a livello di applicazione da parte di Shield Advanced. 

**Controlli dell’integrità**  
I controlli di integrità che riportano in modo accurato lo stato generale dell'applicazione forniscono a Shield Advanced informazioni sulle condizioni del traffico riscontrate dall'applicazione. Shield Advanced richiede meno informazioni che indicano un potenziale attacco quando l'applicazione segnala un malfunzionamento e richiede più prove di un attacco se l'applicazione lo segnala. 

È importante configurare i controlli di integrità in modo che riportino con precisione lo stato delle applicazioni. Per ulteriori informazioni e indicazioni, vedere[Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).

**Linee di base del traffico**  
Le linee di base sul traffico forniscono a Shield Advanced informazioni sulle caratteristiche del traffico normale per l'applicazione. Shield Advanced utilizza queste linee di base per riconoscere quando l'applicazione non riceve traffico normale, in modo da poterti avvisare e, come configurato, iniziare a ideare e testare opzioni di mitigazione per contrastare un potenziale attacco. Per ulteriori informazioni su come Shield Advanced utilizza le linee di base del traffico per rilevare potenziali eventi, consulta la sezione panoramica. [Logica di rilevamento Shield Advanced per le minacce a livello applicativo (livello 7)](ddos-event-detection-application.md)

Shield Advanced crea le proprie linee di base a partire dalle informazioni fornite dall'ACL Web associata alla risorsa protetta. L'ACL Web deve essere associato alla risorsa per almeno 24 ore e fino a 30 giorni prima che Shield Advanced possa determinare in modo affidabile le linee di base dell'applicazione. Il tempo necessario inizia quando si associa l'ACL Web, tramite Shield Advanced o tramite AWS WAF. 

Per ulteriori informazioni sull'utilizzo di un ACL Web con le protezioni a livello di applicazione Shield Advanced, vedere. [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

**Regole basata sulla frequenza**  
Le regole basate sulla frequenza possono aiutare a mitigare gli attacchi. Inoltre, possono oscurare gli attacchi, mitigandoli prima che diventino un problema abbastanza grande da comparire nelle normali linee di base del traffico o nei report sullo stato dei controlli sanitari. 

Ti consigliamo di utilizzare regole basate sulla frequenza nell'ACL Web quando proteggi una risorsa applicativa con Shield Advanced. Anche se le loro misure di mitigazione possono nascondere un potenziale attacco, sono una preziosa prima linea di difesa, che aiuta a garantire che l'applicazione rimanga disponibile per i clienti legittimi. Il traffico rilevato dalle regole basate sulle tariffe e sul limite di velocità è visibile nelle metriche. AWS WAF 

Oltre alle tue regole basate sulla frequenza, se abiliti la mitigazione automatica del livello di applicazione DDo S, Shield Advanced aggiunge un gruppo di regole all'ACL Web che utilizza per mitigare gli attacchi. In questo gruppo di regole, Shield Advanced utilizza sempre una regola basata sulla frequenza che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDo S. Le metriche per il traffico mitigato dalle regole Shield Advanced non sono disponibili per la visualizzazione. 

Per ulteriori informazioni sulle regole basate sulla tariffa, consulta. [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md) Per informazioni sulla regola basata sulla frequenza utilizzata da Shield Advanced per la mitigazione automatica del livello di applicazione DDo S, vedere. [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md)

Per ulteriori informazioni su Shield Advanced e sulle AWS WAF metriche, consulta[Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).

# Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced
<a name="ddos-app-layer-web-ACL-and-rbr"></a>

Questa pagina spiega come AWS WAF web ACLs e Shield Advanced collaborano per creare protezioni di base a livello di applicazione.

Per proteggere una risorsa a livello di applicazione con Shield Advanced, iniziate associando un ACL AWS WAF Web alla risorsa. AWS WAF è un firewall per applicazioni Web che consente di monitorare le richieste HTTP e HTTPS inoltrate alle risorse del livello applicativo e consente di controllare l'accesso ai contenuti in base alle caratteristiche delle richieste. È possibile configurare un ACL Web per monitorare e gestire le richieste in base a fattori quali l'origine della richiesta, il contenuto delle stringhe di query e dei cookie e la frequenza delle richieste provenienti da un singolo indirizzo IP. Come minimo, la protezione Shield Advanced richiede l'associazione di un ACL web a una regola basata sulla velocità, che limita la frequenza delle richieste per ogni indirizzo IP. 

Se l'ACL Web associato non ha una regola basata sulla velocità definita, Shield Advanced richiede di definirne almeno una. Le regole basate sulla tariffa bloccano automaticamente il traffico proveniente dalla fonte IPs quando superano le soglie definite. Aiutano a proteggere l'applicazione dai flussi di richieste Web e possono fornire avvisi in caso di picchi improvvisi di traffico che potrebbero indicare un potenziale attacco S. DDo 

**Nota**  
Una regola basata sulla frequenza risponde molto rapidamente ai picchi di traffico monitorati dalla regola. Per questo motivo, una regola basata sulla frequenza può prevenire non solo un attacco, ma anche il rilevamento di un potenziale attacco tramite Shield Advanced detection. Questo compromesso favorisce la prevenzione rispetto alla completa visibilità dei modelli di attacco. Ti consigliamo di utilizzare una regola basata sulla frequenza come prima linea di difesa contro gli attacchi. 

Una volta installato l'ACL Web, se si verifica un attacco DDo S, è possibile applicare le mitigazioni aggiungendo e gestendo regole nell'ACL Web. Puoi farlo direttamente, con l'assistenza dello Shield Response Team (SRT), o automaticamente tramite la mitigazione automatica del livello DDo S dell'applicazione. 

**Importante**  
Se utilizzi anche la mitigazione automatica del livello di applicazione DDo S, consulta le migliori pratiche per la gestione dell'ACL Web all'indirizzo. [Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-bp.md) 

Per informazioni sull'utilizzo per AWS WAF gestire le regole di monitoraggio e gestione delle richieste Web, consulta. [Creazione di un pacchetto di protezione (ACL web) in AWS WAF](web-acl-creating.md) 

# Protezione del livello applicativo con regole AWS WAF basate sulla frequenza e Shield Advanced
<a name="ddos-app-layer-rbr"></a>

Questa pagina spiega come le regole AWS WAF basate sulla frequenza e Shield Advanced interagiscono per creare protezioni di base a livello di applicazione.

Quando si utilizza una regola basata sulla tariffa con la relativa configurazione predefinita, valuta AWS WAF periodicamente il traffico per la finestra temporale precedente di 5 minuti. AWS WAF blocca le richieste provenienti da qualsiasi indirizzo IP che superi la soglia della regola fino a quando la frequenza delle richieste non scende a un livello accettabile. Quando configuri una regola basata sulla tariffa tramite Shield Advanced, configura la relativa soglia di velocità su un valore superiore alla normale velocità di traffico che ti aspetti da qualsiasi IP di origine in qualsiasi finestra temporale di cinque minuti. 

Potresti voler utilizzare più di una regola basata sulla tariffa in un ACL web. Ad esempio, potresti avere una regola basata sulla tariffa per tutto il traffico con una soglia alta più una o più regole aggiuntive configurate per corrispondere a determinate parti dell'applicazione Web e con soglie inferiori. Ad esempio, è possibile abbinare all'URI `/login.html` una soglia inferiore, per mitigare gli abusi nei confronti di una pagina di accesso. 

Puoi configurare una regola basata sulla frequenza per utilizzare una finestra temporale di valutazione diversa e aggregare le richieste in base a una serie di componenti della richiesta, come valori di intestazione, etichette e argomenti di query. Per ulteriori informazioni, consulta [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md). 

Per ulteriori informazioni e indicazioni, consulta il post sul blog sulla sicurezza Le [tre regole più importanti basate sulla frequenza](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/). AWS WAF 

**Opzioni di configurazione estese tramite AWS WAF**  
La console Shield Advanced consente di aggiungere una regola basata sulla tariffa e configurarla con le impostazioni di base predefinite. È possibile definire opzioni di configurazione aggiuntive gestendo le regole basate sulla tariffa tramite. AWS WAF Ad esempio, puoi configurare la regola per aggregare le richieste in base a chiavi come un indirizzo IP inoltrato, una stringa di query e un'etichetta. Puoi anche aggiungere un'istruzione scope-down alla regola per escludere alcune richieste dalla valutazione e dalla limitazione della velocità. Per ulteriori informazioni, consulta [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md). 

# Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**Nota**  
A partire dal 26 marzo 2026, l'DDoAnti-S Managed Rule Group (anti-DDoS AMR) for AWS WAF diventerà la soluzione predefinita per la protezione dagli attacchi HTTP Request Flood (vedi il blog di lancio di [DDoAnti-S](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) AMR). Sostituisce la funzionalità Layer 7 Auto Mitigation (L7AM). Se sei già cliente Shield Advanced, puoi continuare a utilizzare la soluzione precedente con AWS account esistenti o nuovi. Tuttavia, ti invitiamo ad adottare l'DDoAnti-S Managed Rule Group. L'Anti- DDo S Managed Rule Group rileva e mitiga gli attacchi in pochi secondi anziché in minuti. Se sei un nuovo cliente Shield Advanced e hai bisogno di accedere alla soluzione precedente, contatta il AWS supporto.

Questa pagina introduce l'argomento della mitigazione automatica del livello DDo S delle applicazioni ed elenca le avvertenze associate.

È possibile configurare Shield Advanced in modo che risponda automaticamente per mitigare gli attacchi a livello applicativo (livello 7) contro le risorse protette del livello applicativo, contando o bloccando le richieste Web che fanno parte dell'attacco. Questa opzione è un'aggiunta alla protezione a livello di applicazione aggiunta tramite Shield Advanced con un ACL AWS WAF Web e una regola basata sulla tariffa personalizzata. 

Quando la mitigazione automatica è abilitata per una risorsa, Shield Advanced mantiene un gruppo di regole nell'ACL web associato alla risorsa dove gestisce le regole di mitigazione per conto della risorsa. Il gruppo di regole contiene una regola basata sulla frequenza che tiene traccia del volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi S. DDo 

Inoltre, Shield Advanced confronta i modelli di traffico attuali con le linee di base del traffico storico per rilevare deviazioni che potrebbero indicare un attacco S. DDo Shield Advanced risponde agli attacchi DDo S rilevati creando, valutando e implementando AWS WAF regole personalizzate aggiuntive nel gruppo di regole. 

## Avvertenze relative all'utilizzo della mitigazione automatica del livello di applicazione S DDo
<a name="ddos-automatic-app-layer-response-caveats"></a>

L'elenco seguente descrive gli avvertimenti della mitigazione automatica del livello DDo S di applicazione Shield Advanced e descrive i passaggi che potresti voler intraprendere in risposta.
+ La mitigazione automatica del livello di applicazione DDo S funziona solo con i pacchetti di protezione (web ACLs) creati utilizzando l'ultima versione di AWS WAF (v2). 
+ Shield Advanced richiede tempo per stabilire una base del traffico normale e storico dell'applicazione, che sfrutta per rilevare e isolare il traffico di attacco dal traffico normale e mitigare il traffico di attacco. Il tempo necessario per stabilire una linea di base è compreso tra 24 ore e 30 giorni dal momento in cui si associa un ACL Web alla risorsa applicativa protetta. Per ulteriori informazioni sulle linee di base del traffico, vedere. [Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ L'abilitazione della mitigazione automatica del livello di applicazione DDo S aggiunge un gruppo di regole al pacchetto di protezione (Web ACL) che utilizza 150 unità di capacità Web ACL (). WCUs Questi vengono WCUs conteggiati ai fini dell'utilizzo della WCU nel pacchetto di protezione (Web ACL). Per ulteriori informazioni, consultare [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Unità di capacità Web ACL (WCUs) in AWS WAF](aws-waf-capacity-units.md).
+ Il gruppo di regole Shield Advanced genera AWS WAF metriche, ma non sono disponibili per la visualizzazione. È lo stesso di qualsiasi altro gruppo di regole che utilizzi nel tuo pacchetto di protezione (ACL web) ma che non possiedi, come i gruppi di regole AWS Managed Rules. Per ulteriori informazioni sulle AWS WAF metriche, consulta. [AWS WAF metriche e dimensioni](waf-metrics.md) Per informazioni su questa opzione di protezione Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](#ddos-automatic-app-layer-response). 
+ Per i siti Web ACLs che proteggono più risorse, la mitigazione automatica implementa solo mitigazioni personalizzate che non hanno un impatto negativo su nessuna delle risorse protette. 
+ Il tempo che intercorre tra l'inizio di un attacco DDo S e il momento in cui Shield Advanced imposta regole di mitigazione automatiche personalizzate varia a seconda dell'evento. Alcuni attacchi DDo S potrebbero terminare prima dell'implementazione delle regole personalizzate. Altri attacchi potrebbero verificarsi quando è già in atto una mitigazione e quindi potrebbero essere mitigati da tali regole sin dall'inizio dell'evento. Inoltre, le regole basate sulla frequenza nel gruppo di regole Web ACL e Shield Advanced potrebbero mitigare il traffico di attacco prima che venga rilevato come un possibile evento. 
+ Per gli Application Load Balancer che ricevono traffico attraverso una rete di distribuzione dei contenuti (CDN), come Amazon CloudFront, le funzionalità di mitigazione automatica a livello di applicazione di Shield Advanced per tali risorse di Application Load Balancer saranno ridotte. Shield Advanced utilizza gli attributi del traffico client per identificare e isolare il traffico di attacco dal traffico normale verso l'applicazione e CDNs potrebbe non conservare o inoltrare gli attributi originali del traffico client. Se lo utilizzi CloudFront, ti consigliamo di abilitare la mitigazione automatica sulla CloudFront distribuzione.
+ La mitigazione automatica del livello di applicazione DDo S non interagisce con i gruppi di protezione. È possibile abilitare la mitigazione automatica per le risorse che si trovano nei gruppi di protezione, ma Shield Advanced non applica automaticamente le mitigazioni degli attacchi in base ai risultati dei gruppi di protezione. Shield Advanced applica mitigazioni automatiche degli attacchi per le singole risorse.

**Contents**
+ [Avvertenze relative all'utilizzo della mitigazione automatica del livello di applicazione S DDo](#ddos-automatic-app-layer-response-caveats)
+ [Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-bp.md)
+ [Abilitazione della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-config.md)
  + [Cosa succede quando si abilita la mitigazione automatica](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md)
  + [In che modo Shield Advanced risponde agli attacchi DDo S con la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [Cosa succede quando si disabilita la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md)
+ [Visualizzazione della configurazione di mitigazione automatica del livello di applicazione DDo S per una risorsa](view-automatic-app-layer-response-configuration.md)
+ [Abilitazione e disabilitazione della mitigazione automatica del livello DDo S delle applicazioni](enable-disable-automatic-app-layer-response.md)
+ [Modifica dell'azione utilizzata per la mitigazione automatica del livello DDo S dell'applicazione](change-action-of-automatic-app-layer-response.md)
+ [Utilizzo AWS CloudFormation con mitigazione automatica del livello DDo S dell'applicazione](manage-automatic-mitigation-in-cfn.md)

# Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni
<a name="ddos-automatic-app-layer-response-bp"></a>

Attenetevi alle indicazioni fornite in questa sezione quando utilizzate la mitigazione automatica.

**Gestione generale delle protezioni**  
Segui queste linee guida per pianificare e implementare le protezioni automatiche di mitigazione.
+ Gestisci tutte le tue protezioni automatiche di mitigazione tramite Shield Advanced o, se utilizzi AWS Firewall Manager per gestire le impostazioni di mitigazione automatica Shield Advanced, tramite Firewall Manager. Non mischiate l'uso di Shield Advanced e Firewall Manager per gestire queste protezioni.
+ Gestisci risorse simili utilizzando le stesse impostazioni web ACLs e di protezione e gestisci risorse diverse utilizzando siti Web diversi. ACLs Quando Shield Advanced mitiga un attacco DDo S su una risorsa protetta, definisce le regole per l'ACL Web associato alla risorsa e quindi verifica le regole rispetto al traffico di tutte le risorse associate all'ACL Web. Shield Advanced applicherà le regole solo se non hanno un impatto negativo su nessuna delle risorse associate. Per ulteriori informazioni, consulta [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md).
+ Per gli Application Load Balancer che hanno tutto il traffico Internet inoltrato tramite proxy tramite una CloudFront distribuzione Amazon, abilita solo la mitigazione automatica sulla distribuzione. CloudFront La CloudFront distribuzione avrà sempre il maggior numero di attributi di traffico originali, che Shield Advanced sfrutta per mitigare gli attacchi. 

**Ottimizzazione del rilevamento e della mitigazione**  
Segui queste linee guida per ottimizzare le protezioni che la mitigazione automatica fornisce alle risorse protette. Per una panoramica del rilevamento e della mitigazione a livello di applicazione, vedere. [Elenco di fattori che influiscono sul rilevamento e sulla mitigazione degli eventi a livello di applicazione con Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Configura i controlli di integrità per le tue risorse protette e usali per abilitare il rilevamento basato sullo stato nelle tue protezioni Shield Advanced. Per le linee guida, consulta [Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53](ddos-advanced-health-checks.md).
+ Abilita la mitigazione automatica in Count modalità fino a quando Shield Advanced non ha stabilito una linea di base per il traffico normale e storico. Shield Advanced richiede da 24 ore a 30 giorni per stabilire una linea di base. 

  La definizione di una linea di base dei normali modelli di traffico richiede quanto segue: 
  + L'associazione di un ACL web con la risorsa protetta. È possibile utilizzare AWS WAF direttamente per associare l'ACL Web oppure fare in modo che Shield Advanced lo associ quando si abilita la protezione a livello di applicazione Shield Advanced e si specifica un ACL Web da utilizzare. 
  + Flusso di traffico normale verso l'applicazione protetta. Se l'applicazione non riceve traffico normale, ad esempio prima del lancio dell'applicazione o se manca traffico di produzione per lunghi periodi di tempo, i dati storici non possono essere raccolti.

**Gestione Web ACL**  
Segui queste linee guida per gestire il Web ACLs che utilizzi con mitigazione automatica.
+ Se devi sostituire l'ACL web associato alla risorsa protetta, apporta le seguenti modifiche nell'ordine: 

  1. In Shield Advanced, disabilita la mitigazione automatica. 

  1. In AWS WAF, dissocia il vecchio ACL web e associa il nuovo ACL web. 

  1. In Shield Advanced, abilita la mitigazione automatica. 

  Shield Advanced non trasferisce automaticamente la mitigazione automatica dal vecchio ACL web a quello nuovo. 
+ Non eliminate dal Web alcuna regola del gruppo di regole il ACLs cui nome inizia con. `ShieldMitigationRuleGroup` Se elimini questo gruppo di regole, disabiliti le protezioni fornite dalla mitigazione automatica Shield Advanced per ogni risorsa associata all'ACL web. Inoltre, Shield Advanced potrebbe impiegare del tempo per ricevere la notifica della modifica e aggiornare le impostazioni. Durante questo periodo, le pagine della console Shield Advanced forniranno informazioni errate. 

  Per ulteriori informazioni sul gruppo di regole, vedere[Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Non modificare il nome di una regola del gruppo di regole il cui nome inizia con`ShieldMitigationRuleGroup`. Ciò può interferire con le protezioni fornite dalla mitigazione automatica Shield Advanced tramite l'ACL web. 
+ Quando crei regole e gruppi di regole, non utilizzare nomi che iniziano con. `ShieldMitigationRuleGroup` Questa stringa viene utilizzata da Shield Advanced per gestire le mitigazioni automatiche. 
+ Nella gestione delle regole ACL Web, non assegnate un'impostazione di priorità di 10.000.000. Shield Advanced assegna questa impostazione di priorità alla regola del gruppo di regole di mitigazione automatica quando la aggiunge. 
+ Mantieni la `ShieldMitigationRuleGroup` regola prioritaria in modo che venga eseguita quando vuoi rispetto alle altre regole del tuo ACL web. Shield Advanced aggiunge la regola del gruppo di regole all'ACL Web con priorità 10.000.000, da eseguire dopo le altre regole. Se utilizzi la procedura guidata della AWS WAF console per gestire l'ACL Web, modifica le impostazioni di priorità in base alle esigenze dopo aver aggiunto le regole all'ACL Web. 
+ Se utilizzi AWS CloudFormation per gestire il tuo Web ACLs, non è necessario gestire la `ShieldMitigationRuleGroup` regola del gruppo di regole. Segui le istruzioni riportate all'indirizzo[Utilizzo AWS CloudFormation con mitigazione automatica del livello DDo S dell'applicazione](manage-automatic-mitigation-in-cfn.md).

# Abilitazione della mitigazione automatica del livello DDo S delle applicazioni
<a name="ddos-automatic-app-layer-response-config"></a>

Questa pagina spiega come configurare Shield Advanced per rispondere automaticamente agli attacchi a livello di applicazione.

Abilita la mitigazione automatica Shield Advanced come parte delle protezioni del livello di applicazione DDo S per la tua risorsa. Per informazioni su come eseguire questa operazione tramite la console, consulta. [Configura le protezioni del livello DDo S dell'applicazione](manage-protection.md#configure-app-layer-protection)

La funzionalità di mitigazione automatica richiede le seguenti operazioni:
+ **Associa un ACL Web alla risorsa**: è necessario per qualsiasi protezione a livello di applicazione Shield Advanced. È possibile utilizzare lo stesso ACL Web per più risorse. Ti consigliamo di eseguire questa operazione solo per risorse con traffico simile. Per informazioni sul WebACLs, inclusi i requisiti per utilizzarlo con più risorse, consulta[Come AWS WAF funziona](how-aws-waf-works.md).
+ **Abilita e configura la mitigazione automatica del livello di applicazione DDo S di Shield Advanced**: quando abiliti questa opzione, specifichi se desideri che Shield Advanced blocchi o conti automaticamente le richieste web che ritiene facciano parte di un attacco DDo S. Shield Advanced aggiunge un gruppo di regole all'ACL Web associato e lo utilizza per gestire dinamicamente la risposta agli attacchi DDo S alla risorsa. Per informazioni sulle opzioni di azione delle regole, vedere. [Utilizzo delle azioni delle regole in AWS WAF](waf-rule-action.md)
+ **(Facoltativo, ma consigliato) Aggiungi una regola basata sulla frequenza all'ACL Web**: per impostazione predefinita, la regola basata sulla frequenza fornisce alla risorsa una protezione di base contro gli attacchi DDo S impedendo a un singolo indirizzo IP di inviare troppe richieste in breve tempo. Per informazioni sulle regole basate sulla tariffa, incluse opzioni ed esempi di aggregazione delle richieste personalizzate, consulta. [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md)

## Cosa succede quando si abilita la mitigazione automatica
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced esegue le seguenti operazioni quando si abilita la mitigazione automatica: 
+ Se **necessario, aggiunge un gruppo di regole per l'uso di Shield Advanced**: se l'ACL AWS WAF Web associato alla risorsa non dispone già di una AWS WAF regola del gruppo di regole dedicata alla mitigazione automatica del livello DDo S dell'applicazione, Shield Advanced ne aggiunge una. 

  Il nome della regola del gruppo di regole inizia con. `ShieldMitigationRuleGroup` Il gruppo di regole contiene sempre una regola basata sulla frequenza denominata`ShieldKnownOffenderIPRateBasedRule`, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDo S. Per ulteriori dettagli sul gruppo di regole Shield Advanced e sulla regola Web ACL che vi fa riferimento, vedere[Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Inizia a rispondere agli attacchi DDo S contro la risorsa**: Shield Advanced risponde automaticamente agli attacchi DDo S per la risorsa protetta. Oltre alla regola basata sulla frequenza, che è sempre presente, Shield Advanced utilizza il proprio gruppo di regole per implementare AWS WAF regole personalizzate per la mitigazione DDo degli attacchi S. Shield Advanced adatta queste regole alla tua applicazione e agli attacchi che subisce la tua applicazione e le testa rispetto al traffico storico della risorsa prima di implementarle. 

Shield Advanced utilizza una singola regola del gruppo di regole in qualsiasi ACL Web utilizzato per la mitigazione automatica. Se Shield Advanced ha già aggiunto il gruppo di regole per un'altra risorsa protetta, non aggiunge un altro gruppo di regole all'ACL Web. 

La mitigazione automatica del livello di applicazione DDo S dipende dalla presenza del gruppo di regole per mitigare gli attacchi. Se il gruppo di regole viene rimosso dall'ACL AWS WAF Web per qualsiasi motivo, la rimozione disabilita la mitigazione automatica per tutte le risorse associate all'ACL Web.

# Come Shield Advanced gestisce la mitigazione automatica
<a name="ddos-automatic-app-layer-response-behavior"></a>

Gli argomenti di questa sezione descrivono come Shield Advanced gestisce le modifiche alla configurazione per la mitigazione automatica del livello di applicazione DDo S e come gestisce gli attacchi DDo S quando la mitigazione automatica è abilitata. 

**Topics**
+ [In che modo Shield Advanced risponde agli attacchi DDo S con la mitigazione automatica](#ddos-automatic-app-layer-response-ddos-attack)
+ [In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole](#ddos-automatic-app-layer-response-rule-action)
+ [In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua](#ddos-automatic-app-layer-response-after-attack)
+ [Cosa succede quando si disabilita la mitigazione automatica](#ddos-automatic-app-layer-response-disable)

## In che modo Shield Advanced risponde agli attacchi DDo S con la mitigazione automatica
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Quando la mitigazione automatica è abilitata su una risorsa protetta, la regola `ShieldKnownOffenderIPRateBasedRule` basata sulla tariffa nel gruppo di regole Shield Advanced risponde automaticamente ai volumi di traffico elevati provenienti da fonti S note. DDo Questa limitazione della velocità viene applicata rapidamente e funge da difesa in prima linea contro gli attacchi. 

Quando Shield Advanced rileva un attacco, esegue le seguenti operazioni:

1. Tenta di identificare una firma di attacco che isola il traffico di attacco dal normale traffico verso l'applicazione. L'obiettivo è produrre regole di mitigazione DDo S di alta qualità che, se applicate, influiscano solo sul traffico di attacco e non influiscano sul normale traffico verso l'applicazione.

1. Valuta la firma dell'attacco identificata rispetto ai modelli di traffico storici per la risorsa sotto attacco e per qualsiasi altra risorsa associata allo stesso ACL web. Shield Advanced esegue questa operazione prima di implementare qualsiasi regola in risposta all'evento. 

   A seconda dei risultati della valutazione, Shield Advanced esegue una delle seguenti operazioni: 
   + Se Shield Advanced determina che la firma di attacco isola solo il traffico coinvolto nell'attacco DDo S, implementa la firma nelle AWS WAF regole del gruppo di regole di mitigazione Shield Advanced nell'ACL web. Shield Advanced fornisce a queste regole l'impostazione di azione che hai configurato per la mitigazione automatica della risorsa, Count oppureBlock.
   + Altrimenti, Shield Advanced non prevede alcuna mitigazione.

Durante un attacco, Shield Advanced invia le stesse notifiche e fornisce le stesse informazioni sugli eventi delle protezioni di base a livello di applicazione Shield Advanced. Puoi visualizzare le informazioni sugli eventi e sugli attacchi DDo S e su qualsiasi mitigazione degli attacchi Shield Advanced nella console degli eventi Shield Advanced. Per informazioni, consulta [Visibilità sugli eventi DDo S con Shield Advanced](ddos-viewing-events.md). 

Se hai configurato la mitigazione automatica per utilizzare l'azione della Block regola e riscontri falsi positivi nelle regole di mitigazione implementate da Shield Advanced, puoi modificare l'azione della regola in. Count Per informazioni su come eseguire questa operazione, consulta. [Modifica dell'azione utilizzata per la mitigazione automatica del livello DDo S dell'applicazione](change-action-of-automatic-app-layer-response.md) 

## In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Puoi impostare l'azione della regola per le tue mitigazioni automatiche su Block o. Count 

Quando si modifica l'impostazione dell'azione automatica delle regole di mitigazione per una risorsa protetta, Shield Advanced aggiorna tutte le impostazioni delle regole per la risorsa. Aggiorna tutte le regole attualmente in vigore per la risorsa nel gruppo di regole Shield Advanced e utilizza la nuova impostazione di azione quando crea nuove regole. 

Per le risorse che utilizzano lo stesso ACL Web, se si specificano azioni diverse, Shield Advanced utilizza l'impostazione dell'Blockazione per la regola basata sulla frequenza del gruppo di regole. `ShieldKnownOffenderIPRateBasedRule` Shield Advanced crea e gestisce altre regole nel gruppo di regole per conto di una specifica risorsa protetta e utilizza l'impostazione di azione specificata per la risorsa. Tutte le regole del gruppo di regole Shield Advanced in un ACL Web vengono applicate al traffico Web di tutte le risorse associate. 

La propagazione della modifica dell'impostazione dell'azione può richiedere alcuni secondi. Durante questo periodo, potresti vedere la vecchia impostazione in alcuni punti in cui è in uso il gruppo di regole e la nuova impostazione in altri. 

È possibile modificare l'impostazione dell'azione delle regole per la configurazione di mitigazione automatica nella pagina degli eventi della console e tramite la pagina di configurazione del livello di applicazione. Per informazioni sulla pagina degli eventi, vedere[Risposta agli eventi DDo S in AWS](ddos-responding.md). Per informazioni sulla pagina di configurazione, vedere[Configura le protezioni del livello DDo S dell'applicazione](manage-protection.md#configure-app-layer-protection).

## In che modo Shield Advanced gestisce le mitigazioni quando un attacco si attenua
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Quando Shield Advanced determina che le regole di mitigazione che sono state implementate per un particolare attacco non sono più necessarie, le rimuove dal gruppo di regole di mitigazione Shield Advanced. 

La rimozione delle regole di mitigazione non coinciderà necessariamente con la fine di un attacco. Shield Advanced monitora i modelli di attacco che rileva sulle risorse protette. Potrebbe difendersi in modo proattivo dalla recidiva di un attacco con una firma specifica mantenendo in vigore le regole che ha implementato contro il verificarsi iniziale di quell'attacco. Se necessario, Shield Advanced aumenta il lasso di tempo necessario per mantenere le regole in vigore. In questo modo, Shield Advanced potrebbe mitigare gli attacchi ripetuti con una firma specifica prima che abbiano un impatto sulle risorse protette. 

Shield Advanced non rimuove mai la regola basata sulla frequenza`ShieldKnownOffenderIPRateBasedRule`, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi DDo S. 

## Cosa succede quando si disabilita la mitigazione automatica
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced esegue le seguenti operazioni quando si disabilita la mitigazione automatica per una risorsa: 
+ **Smette di rispondere automaticamente agli attacchi DDo S**: Shield Advanced interrompe le attività di risposta automatica per la risorsa.
+ **Rimuove le regole non necessarie dal gruppo di regole Shield** Advanced: se Shield Advanced mantiene delle regole nel proprio gruppo di regole gestito per conto della risorsa protetta, le rimuove. 
+ **Rimuove il gruppo di regole Shield Advanced, se non è più in uso**: se l'ACL Web associato alla risorsa non è associato a nessun'altra risorsa con la mitigazione automatica abilitata, Shield Advanced rimuove la regola del gruppo di regole dall'ACL Web. 

# Protezione del livello applicativo con il gruppo di regole Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Questa pagina spiega come funziona il gruppo di regole Shield Advanced nell'ACL Web.

Shield Advanced gestisce le attività di mitigazione automatica utilizzando le regole di un gruppo di regole di cui è proprietario e gestisce per conto dell'utente. Shield Advanced fa riferimento al gruppo di regole con una regola nell'ACL Web associata alla risorsa protetta. 

**La regola del gruppo di regole nell'ACL web**  
La regola del gruppo di regole Shield Advanced nell'ACL Web ha le seguenti proprietà:
+ **Nome**: `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unità di capacità Web ACL (WCU**): 150. Queste vengono WCUs conteggiate ai fini dell'utilizzo della WCU nell'ACL web. 

Shield Advanced crea questa regola nell'ACL Web con un'impostazione di priorità di 10.000.000, in modo che venga eseguita dopo le altre regole e gruppi di regole nell'ACL Web. AWS WAF esegue le regole in un ACL web dall'impostazione di priorità numerica più bassa in poi. Durante la gestione dell'ACL Web, questa impostazione di priorità potrebbe cambiare. 

La funzionalità di mitigazione automatica non consuma AWS WAF risorse aggiuntive nel tuo account, oltre a quelle WCUs utilizzate dal gruppo di regole nell'ACL web. Ad esempio, il gruppo di regole Shield Advanced non viene conteggiato come uno dei gruppi di regole del tuo account. Per informazioni sui limiti degli account in AWS WAF, consulta[AWS WAF quote](limits.md).

**Regole nel gruppo di regole**  
All'interno del gruppo di regole Shield Advanced di riferimento, Shield Advanced mantiene una regola basata sulla frequenza`ShieldKnownOffenderIPRateBasedRule`, che limita il volume di richieste provenienti da indirizzi IP noti per essere fonti di attacchi S. DDo Questa regola funge da prima linea di difesa contro qualsiasi attacco, perché è sempre presente nel gruppo di regole e non si basa sull'analisi dei modelli di traffico per contenere gli attacchi. L'azione di questa regola è impostata sull'azione scelta per le mitigazioni automatiche, proprio come le altre regole del gruppo di regole. Per informazioni sulle regole basate sulle tariffe, consulta. [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md)

**Nota**  
La regola basata sulla frequenza `ShieldKnownOffenderIPRateBasedRule` funziona indipendentemente dal rilevamento degli eventi Shield Advanced. Sebbene la mitigazione automatica sia abilitata, questa regola limita gli indirizzi IP noti per essere fonti di attacchi S. DDo Per questi indirizzi IP, la limitazione della velocità della regola può prevenire gli attacchi e anche impedire che gli attacchi compaiano nelle informazioni di rilevamento di Shield Advanced. Questo compromesso privilegia la prevenzione rispetto alla completa visibilità dei modelli di attacco. 

Oltre alla regola permanente basata sulla frequenza descritta sopra, il gruppo di regole contiene tutte le regole attualmente utilizzate da Shield Advanced per mitigare gli attacchi S. DDo Shield Advanced aggiunge, modifica e rimuove queste regole secondo necessità. Per informazioni, consulta [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md).

**Metriche**  
Il gruppo di regole genera AWS WAF metriche, ma poiché questo gruppo di regole è di proprietà di Shield Advanced, queste metriche non sono disponibili per la visualizzazione. Per ulteriori informazioni, consulta [AWS WAF metriche e dimensioni](waf-metrics.md).

# Visualizzazione della configurazione di mitigazione automatica del livello di applicazione DDo S per una risorsa
<a name="view-automatic-app-layer-response-configuration"></a>

È possibile visualizzare la configurazione di mitigazione automatica del livello di applicazione DDo S per una risorsa nella pagina **Risorse protette** e nelle pagine di protezione individuali. 

**Per visualizzare la configurazione automatica di mitigazione del livello di applicazione DDo S**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**. Nell'elenco delle risorse protette, la colonna Mitigazione **automatica del livello di applicazione DDo S indica se la mitigazione** automatica è abilitata e, se abilitata, l'azione che Shield Advanced deve utilizzare nelle sue mitigazioni. 

   Puoi anche selezionare qualsiasi risorsa del livello applicativo per visualizzare le stesse informazioni elencate nella pagina delle protezioni per la risorsa. 

# Abilitazione e disabilitazione della mitigazione automatica del livello DDo S delle applicazioni
<a name="enable-disable-automatic-app-layer-response"></a>

La procedura seguente mostra come abilitare o disabilitare la risposta automatica per una risorsa protetta. 

**Per abilitare o disabilitare la mitigazione automatica del livello DDo S dell'applicazione per una singola risorsa**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona la risorsa del livello di applicazione per cui desideri abilitare la mitigazione automatica. Viene visualizzata la pagina delle protezioni per la risorsa. 

1. **Nella pagina delle protezioni della risorsa, scegli Modifica.** 

1. Nella pagina **Configura la mitigazione del livello 7 DDo S per le risorse globali: *facoltativo***, per la **mitigazione automatica del livello DDo S dell'applicazione**, scegli l'opzione che desideri utilizzare per le mitigazioni automatiche. Le opzioni nella console sono le seguenti: 
   + **Mantieni le impostazioni correnti**: non apportare modifiche alle impostazioni di mitigazione automatica della risorsa protetta. 
   + **Abilita**: abilita la mitigazione automatica per la risorsa protetta. Quando scegli questa opzione, seleziona anche l'azione della regola che desideri che le mitigazioni automatiche utilizzino nelle regole ACL Web. Per informazioni sulle impostazioni delle azioni delle regole, consulta. [Utilizzo delle azioni delle regole in AWS WAF](waf-rule-action.md)

     Se la risorsa protetta non ha ancora una cronologia del normale traffico applicativo, abilita la mitigazione automatica in Count modalità fino a quando Shield Advanced non sarà in grado di stabilire una linea di base. Shield Advanced inizia a raccogliere informazioni per la sua linea di base quando si associa un ACL Web alla risorsa protetta e possono essere necessari da 24 ore a 30 giorni per stabilire una buona linea di base del traffico normale.
   + **Disabilita**: disabilita la mitigazione automatica per la risorsa protetta. 

1. Scorri il resto delle pagine fino a completare e salvare la configurazione. 

Nella pagina **Protezioni**, le impostazioni di mitigazione automatica vengono aggiornate per la risorsa.

# Modifica dell'azione utilizzata per la mitigazione automatica del livello DDo S dell'applicazione
<a name="change-action-of-automatic-app-layer-response"></a>

Puoi modificare l'azione utilizzata da Shield Advanced per la risposta automatica a livello di applicazione in più posizioni della console:
+ **Configurazione di mitigazione automatica**: modifica l'azione quando configuri la mitigazione automatica per la tua risorsa. Per la procedura, vedere la sezione precedente. [Abilitazione e disabilitazione della mitigazione automatica del livello DDo S delle applicazioni](enable-disable-automatic-app-layer-response.md)
+ **Pagina dei dettagli dell'evento**: modifica l'azione nella pagina dei dettagli dell'evento, quando visualizzi le informazioni sull'evento nella console. Per informazioni, consulta [Visualizzazione dei dettagli AWS Shield Advanced dell'evento](ddos-event-details.md).

Se si dispone di due risorse protette che condividono un ACL Web e si imposta l'azione su una e Block sull'altra, Shield Advanced imposta l'azione per la regola basata sulla frequenza del gruppo di regole su. Count `ShieldKnownOffenderIPRateBasedRule` Block

# Utilizzo AWS CloudFormation con mitigazione automatica del livello DDo S dell'applicazione
<a name="manage-automatic-mitigation-in-cfn"></a>

Questa pagina spiega come utilizzarla per CloudFormation gestire le protezioni e AWS WAF il web. ACLs 

**Abilitazione o disabilitazione della mitigazione automatica del livello DDo S delle applicazioni**  
È possibile abilitare e disabilitare la mitigazione automatica del livello di applicazione DDo S tramite AWS CloudFormation, utilizzando la risorsa. `AWS::Shield::Protection` L'effetto è lo stesso di quando abiliti o disabiliti la funzionalità tramite la console o qualsiasi altra interfaccia. Per informazioni sulla CloudFormation risorsa, consulta [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)la *guida per l'AWS CloudFormation utente*.

**Gestione del web ACLs utilizzato con mitigazione automatica**  
Shield Advanced gestisce la mitigazione automatica per la risorsa protetta utilizzando una regola del gruppo di regole nell'ACL AWS WAF Web della risorsa protetta. Tramite la AWS WAF console e APIs, vedrai la regola elencata nelle tue regole ACL web, con un nome che inizia con. `ShieldMitigationRuleGroup` Questa regola è dedicata alla mitigazione automatica del livello DDo S delle applicazioni ed è gestita per te da Shield Advanced e AWS WAF. Per ulteriori informazioni, consultare [Protezione del livello applicativo con il gruppo di regole Shield Advanced](ddos-automatic-app-layer-response-rg.md) e [Come Shield Advanced gestisce la mitigazione automatica](ddos-automatic-app-layer-response-behavior.md).

Se lo utilizzi CloudFormation per gestire il tuo Web ACLs, non aggiungere la regola del gruppo di regole Shield Advanced al tuo modello ACL web. Quando aggiorni un ACL web che viene utilizzato con le tue protezioni di mitigazione automatiche, gestisce AWS WAF automaticamente la regola del gruppo di regole nell'ACL web. 

Vedrai le seguenti differenze rispetto ad altri siti Web tramite ACLs cui gestisci: CloudFormation
+ CloudFormation non segnalerà alcuna deviazione nello stato di deriva dello stack tra la configurazione effettiva dell'ACL Web, con la regola del gruppo di regole Shield Advanced, e il modello ACL Web, senza la regola. La regola Shield Advanced non verrà visualizzata nell'elenco effettivo della risorsa nei dettagli della deriva. 

  Potrai vedere la regola del gruppo di regole Shield Advanced negli elenchi ACL Web da cui richiami AWS WAF, ad esempio tramite la AWS WAF console o. AWS WAF APIs
+ Se modifichi il modello ACL Web in uno stack e AWS WAF Shield Advanced mantiene automaticamente la regola di mitigazione automatica Shield Advanced nell'ACL Web aggiornato. Le protezioni di mitigazione automatiche fornite da Shield Advanced non vengono interrotte dall'aggiornamento all'ACL Web.

Non gestite la regola Shield Advanced nel vostro modello ACL CloudFormation web. Il modello Web ACL non dovrebbe elencare la regola Shield Advanced. Segui le migliori pratiche per la gestione degli ACL Web all'indirizzo. [Procedure consigliate per l'utilizzo della mitigazione automatica del livello DDo S delle applicazioni](ddos-automatic-app-layer-response-bp.md)

# Rilevamento basato sulla salute mediante controlli sanitari con Shield Advanced e Route 53
<a name="ddos-advanced-health-checks"></a>

Puoi configurare Shield Advanced per utilizzare il rilevamento basato sullo stato di salute per migliorare la reattività e la precisione nel rilevamento e nella mitigazione degli attacchi. È possibile utilizzare questa opzione con qualsiasi tipo di risorsa ad eccezione delle zone ospitate su Route 53. 

Per configurare il rilevamento basato sullo stato, definisci un controllo dello stato della tua risorsa in Route 53, verifichi che stia segnalando lo stato di salute e quindi associala alla protezione Shield Advanced. Per informazioni sui controlli di integrità di Route 53, consulta [Come Amazon Route 53 verifica lo stato delle tue risorse](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) e [Creazione, aggiornamento ed eliminazione dei controlli di integrità](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) nella Amazon Route 53 Developer Guide. 

**Nota**  
I controlli Health sono necessari per il supporto proattivo al coinvolgimento dello Shield Response Team (SRT). Per informazioni sul coinvolgimento proattivo, consulta. [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md)

I controlli sanitari misurano lo stato delle risorse in base ai requisiti che definisci. Lo stato del controllo dello stato fornisce un input fondamentale ai meccanismi di rilevamento Shield Advanced, offrendo loro una maggiore sensibilità allo stato attuale delle applicazioni specifiche. 

È possibile abilitare il rilevamento basato sullo stato di salute per qualsiasi tipo di risorsa ad eccezione delle zone ospitate da Route 53.
+ **Risorse a livello di rete e trasporto (livello 3/livello 4)**: il rilevamento basato sull'integrità migliora la precisione del rilevamento e della mitigazione degli eventi a livello di rete e trasporto per Network Load Balancer, indirizzi IP elastici e acceleratori standard Global Accelerator. Quando proteggi questi tipi di risorse con Shield Advanced, Shield Advanced può fornire mitigazioni per attacchi più piccoli e mitigazioni più rapide per gli attacchi, anche quando il traffico rientra nella capacità dell'applicazione.

  Quando si aggiunge il rilevamento basato sullo stato di salute, durante i periodi in cui il relativo controllo sanitario non è corretto, Shield Advanced può effettuare le mitigazioni ancora più rapidamente e a soglie ancora più basse.
+ **Risorse a livello applicativo (livello 7)**: il rilevamento basato sullo stato di salute migliora la precisione del rilevamento dei flussi di richieste Web per CloudFront le distribuzioni e gli Application Load Balancer. Quando proteggi questi tipi di risorse con Shield Advanced, ricevi avvisi di rilevamento delle inondazioni di richieste Web quando si verifica una deviazione statisticamente significativa nel volume di traffico combinata con cambiamenti significativi nei modelli di traffico, in base alle caratteristiche della richiesta. 

  Con il rilevamento basato sullo stato di salute, quando il controllo dello stato della Route 53 associato non è integro, Shield Advanced richiede deviazioni minori per avvisare e riporta gli eventi più rapidamente. Al contrario, quando il controllo dello stato della Route 53 associato è corretto, Shield Advanced richiede deviazioni maggiori per avvisare. 

È possibile trarre il massimo vantaggio dall'utilizzo di un controllo dello stato di salute con Shield Advanced se il controllo dello stato segnala lo stato di salute solo quando l'applicazione è in esecuzione con parametri accettabili e segnala lo stato di salute solo quando non lo è. Utilizza le indicazioni contenute in questa sezione per gestire le associazioni dei controlli sanitari in Shield Advanced. 

**Nota**  
Shield Advanced non gestisce automaticamente i controlli sanitari. 

Per utilizzare un controllo dello stato di salute con Shield Advanced è necessario quanto segue: 
+ Il controllo dello stato deve riportare lo stato di salute quando lo si associa alla protezione Shield Advanced. 
+ Il controllo sanitario deve essere pertinente allo stato di salute della risorsa protetta. L'utente è responsabile della definizione e del mantenimento dei controlli di integrità che riportino in modo accurato lo stato dell'applicazione, in base ai requisiti specifici dell'applicazione. 
+ Il controllo sanitario deve rimanere disponibile per l'uso da parte della protezione Shield Advanced. Non eliminare un controllo dello stato di salute in Route 53 che stai utilizzando per una protezione Shield Advanced.

**Contents**
+ [Le migliori pratiche per l'utilizzo dei controlli sanitari con Shield Advanced](health-checks-best-practices.md)
+ [CloudWatch metriche comunemente utilizzate per i controlli sanitari con Shield Advanced](health-checks-metrics.md)
  + [Metriche utilizzate per monitorare lo stato delle applicazioni](health-checks-metrics.md#health-checks-metrics-common)
  + [CloudWatch Parametri Amazon per ogni tipo di risorsa](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [Associazione di un controllo dello stato di salute alla risorsa protetta da Shield Advanced](associate-health-check.md)
+ [Dissociazione di un controllo dello stato di salute dalla risorsa protetta da Shield Advanced](disassociate-health-check.md)
+ [Visualizzazione dello stato dell'associazione dei controlli sanitari in Shield Advanced](health-check-association-status.md)
+ [Esempi di Health check per Shield Advanced](health-checks-examples.md)
  + [CloudFront Distribuzioni Amazon](health-checks-examples.md#health-checks-example-cloudfront)
  + [Sistemi di load balancer](health-checks-examples.md#health-checks-example-load-balancer)
  + [Indirizzo IP EC2 elastico Amazon (EIP)](health-checks-examples.md#health-checks-example-elastic-ip)

# Le migliori pratiche per l'utilizzo dei controlli sanitari con Shield Advanced
<a name="health-checks-best-practices"></a>

Segui le best practice riportate in questa sezione quando crei e utilizzi i controlli di integrità con Shield Advanced.
+ Pianifica i tuoi controlli sanitari identificando i componenti dell'infrastruttura che desideri monitorare. Considerate i seguenti tipi di risorse per i controlli sanitari: 
  + Risorse critiche.
  + Qualsiasi risorsa per cui desideri una maggiore sensibilità nel rilevamento e nella mitigazione di Shield Advanced.
  + Risorse per le quali desideri che Shield Advanced ti contatti in modo proattivo. Il coinvolgimento proattivo si basa sullo stato dei controlli sanitari.

  Esempi di risorse che potresti voler monitorare includono le CloudFront distribuzioni Amazon, i sistemi di bilanciamento del carico con connessione a Internet e le istanze Amazon EC2. 
+ Definisci controlli di integrità che riflettano accuratamente lo stato dell'origine dell'applicazione con il minor numero possibile di notifiche. 
  + Esegui controlli di integrità in modo che non siano integri solo quando l'applicazione non è disponibile o non funziona entro parametri accettabili. Sei responsabile della definizione e del mantenimento dei controlli di integrità in base ai requisiti specifici dell'applicazione. 
  + Utilizzate il minor numero possibile di controlli sanitari, pur continuando a riferire in modo accurato sullo stato della vostra applicazione. Ad esempio, allarmi multipli provenienti da più aree dell'applicazione e che segnalano tutti lo stesso problema potrebbero aumentare i costi delle attività di risposta senza aggiungere valore informativo. 
  + Utilizza controlli di integrità calcolati per monitorare lo stato delle applicazioni utilizzando una combinazione di CloudWatch parametri Amazon. Ad esempio, puoi calcolare l'integrità combinata in base alla latenza dei tuoi server delle applicazioni e al loro tasso di errore di 5xx, il che indica che il server di origine non ha soddisfatto la richiesta. 
  + Create e pubblicate gli indicatori di integrità delle vostre applicazioni con metriche CloudWatch personalizzate in base alle esigenze e utilizzateli in un controllo dello stato calcolato.
+ Implementa e gestisci i controlli sanitari per migliorare il rilevamento e ridurre le attività di manutenzione non necessarie.
  + Prima di associare un controllo sanitario a una protezione Shield Advanced, assicurati che sia in buono stato. L'associazione di un controllo dello stato che risulta non integro può alterare i meccanismi di rilevamento di Shield Advanced per le risorse protette.
  + Mantieni i tuoi controlli sanitari disponibili per l'uso da parte di Shield Advanced. Non eliminare un controllo dello stato di salute in Route 53 che stai utilizzando per una protezione Shield Advanced.
  + Usa gli ambienti di staging e test solo per testare i tuoi controlli sanitari. Mantieni le associazioni di controllo dello stato solo per ambienti che richiedono prestazioni e disponibilità a livello di produzione. Non mantenete l'associazione di controllo dello stato di salute in Shield Advanced per ambienti di staging e test. 

# CloudWatch metriche comunemente utilizzate per i controlli sanitari con Shield Advanced
<a name="health-checks-metrics"></a>

Questa sezione elenca le CloudWatch metriche di Amazon comunemente utilizzate nei controlli di integrità per misurare lo stato delle applicazioni durante gli eventi di denial of service (DDoS) distribuiti. Per informazioni complete sui CloudWatch parametri per ogni tipo di risorsa, consulta l'elenco che segue la tabella. 

**Topics**
+ [Metriche utilizzate per monitorare lo stato delle applicazioni](#health-checks-metrics-common)
+ [CloudWatch Parametri Amazon per ogni tipo di risorsa](#health-checks-protected-resource-metrics)

## Metriche utilizzate per monitorare lo stato delle applicazioni
<a name="health-checks-metrics-common"></a>


| Risorsa | Metrica | Description | 
| --- | --- | --- | 
| Route 53 | `HealthCheckStatus` | Lo stato dell'endpoint per il controllo dello stato di salute. | 
| CloudFront | `5xxErrorRate` | La percentuale di tutte le richieste per le quali il codice di stato HTTP è 5xx. Ciò indica un attacco che ha un impatto sull'applicazione. | 
| Application Load Balancer | `HTTPCode_ELB_5XX_Count` | Il numero di codici di errore del client HTTP 5xx generati dal load balancer.  | 
| Application Load Balancer | `RejectedConnectionCount` | Il numero di connessioni che sono state rifiutate perché il sistema di bilanciamento del carico ha raggiunto il numero massimo di connessioni. | 
| Application Load Balancer | `TargetConnectionErrorCount` | Il numero di connessioni non stabilite correttamente tra il load balancer e la destinazione. | 
| Application Load Balancer | `TargetResponseTime` |  Il tempo trascorso, in secondi, dopo che la richiesta ha lasciato il sistema di bilanciamento del carico e quando riceve una risposta dalla destinazione.  | 
| Application Load Balancer | `UnHealthyHostCount` | Il numero di target considerati non integri. | 
| Amazon EC2 | `CPUUtilization` | La percentuale di unità di EC2 calcolo allocate attualmente in uso. | 

## CloudWatch Parametri Amazon per ogni tipo di risorsa
<a name="health-checks-protected-resource-metrics"></a>

Per ulteriori informazioni sulle metriche disponibili per le risorse protette, consulta le seguenti sezioni nelle guide alle risorse: 
+ Amazon Route 53: [monitoraggio delle risorse con i controlli di integrità di Amazon Route 53 e Amazon CloudWatch nella Amazon](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html) Route 53 Developer Guide.
+ Amazon CloudFront — [Monitoraggio CloudFront con Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html) nella Amazon CloudFront Developer Guide.
+ Application Load Balancer: [CloudWatch metriche per il tuo Application Load Balancer nella User Guide for Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html) Balancer.
+ Network Load Balancer: [CloudWatch metriche per il Network Load Balancer nella Guida per l'utente di Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html) Balancer.
+ AWS Global Accelerator — [Utilizzo di Amazon CloudWatch con AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html) la AWS Global Accelerator Developer Guide.
+ Amazon Elastic Compute Cloud: [elenca le CloudWatch metriche disponibili per le tue istanze](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html) nelle ultime/ /. https://docs.aws.amazon.com/AWSEC2/ UserGuide
+ Amazon EC2 Auto Scaling: [ CloudWatch parametri di monitoraggio per i gruppi e le istanze di Auto Scaling nella Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) Auto Scaling User Guide. EC2 

# Associazione di un controllo dello stato di salute alla risorsa protetta da Shield Advanced
<a name="associate-health-check"></a>

La procedura seguente mostra come associare un controllo dello stato di Amazon Route 53 a una risorsa protetta. 

**Nota**  
Prima di associare un controllo sanitario a una protezione Shield Advanced, assicurati che sia in buono stato. Per informazioni, consulta [Monitoraggio dello stato dei controlli di integrità e ricezione delle notifiche](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) nella Amazon Route 53 Developer Guide. 

**Per associare un controllo sanitario**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona la risorsa che desideri associare a un controllo sanitario. 

1. Scegli **Configura protezioni**.

1. Scegli **Avanti** fino ad arrivare alla pagina **Configura il rilevamento DDo S basato su controlli sanitari *(opzionale)***.

1. In **Associated Health Check (Controllo stato associato)**, scegliere l'ID del controllo dello stato che si desidera associare alla protezione. 
**Nota**  
Se non vedi il controllo sanitario di cui hai bisogno, vai alla console Route 53 e verifica il controllo e il relativo ID. Per informazioni, consultare [Creazione e aggiornamento di controlli dello stato](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Scorri il resto delle pagine fino a completare la configurazione. Nella pagina **Protezioni**, l'associazione di controllo sanitario aggiornata è elencata per la risorsa.

1. Nella pagina **Protezioni**, verifica che il nuovo controllo sanitario associato risulti integro. 

   Non puoi iniziare a utilizzare correttamente un controllo dello stato di salute in Shield Advanced mentre il controllo dello stato segnala che non è integro. In questo modo Shield Advanced rileva falsi positivi a soglie molto basse e può anche influire negativamente sulla capacità dello Shield Response Team (SRT) di fornire un coinvolgimento proattivo per la risorsa. 

   Se il nuovo controllo sanitario associato risulta non integro, procedi come segue: 

   1. Dissocia il controllo dello stato dalla tua protezione in Shield Advanced.

   1. Rivedi le specifiche del controllo dello stato di salute in Amazon Route 53 e verifica le prestazioni e la disponibilità complessive dell'applicazione. 

   1. Quando le prestazioni dell'applicazione rientrano nei parametri di buona salute e il controllo dello stato risulta corretto, riprova ad associare il controllo dello stato in Shield Advanced.

La procedura di associazione dei controlli sanitari è completa quando hai stabilito la tua nuova associazione per i controlli sanitari e risulta sana in Shield Advanced.

# Dissociazione di un controllo dello stato di salute dalla risorsa protetta da Shield Advanced
<a name="disassociate-health-check"></a>

La procedura seguente mostra come dissociare un controllo dello stato di Amazon Route 53 da una risorsa protetta. 

**Annullare l'associazione di un controllo sanitario**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona la risorsa che desideri escludere da un controllo sanitario. 

1. Scegli **Configura protezioni**.

1. Scegli **Avanti** fino ad arrivare alla pagina **Configura il rilevamento DDo S basato su controlli sanitari *(opzionale)***.

1. In **Associated Health Check**, scegli l'opzione vuota, elencata come **-**. 

1. Scorri il resto delle pagine fino a completare la configurazione. 

Nella pagina **Protezioni**, il campo relativo al controllo dello stato di salute della risorsa è impostato su **-**, a indicare che non vi è alcuna associazione tra i controlli sanitari.

# Visualizzazione dello stato dell'associazione dei controlli sanitari in Shield Advanced
<a name="health-check-association-status"></a>

Puoi vedere lo stato del controllo di integrità associato a una protezione nella pagina **Risorse protette** della console AWS WAF & Shield e nella pagina dei dettagli di ciascuna risorsa. 
+ **Sano**: il controllo sanitario è disponibile e riporta lo stato di salute.
+ **Non salutare**: il controllo sanitario è disponibile e lo segnala come non salutare.
+ Non **disponibile**: il controllo dello stato non è disponibile per l'uso da parte di Shield Advanced. 

**Per risolvere un controllo sanitario **non disponibile****

Crea e utilizza un nuovo controllo sanitario. Non provare ad associare nuovamente un controllo sanitario dopo che lo stato non è disponibile in Shield Advanced. 

Per una guida dettagliata su come seguire questi passaggi, consulta gli argomenti precedenti. 

1. In Shield Advanced, dissocia il controllo dello stato dalla risorsa. 

1. In Route 53, crea un nuovo controllo dello stato della risorsa e annota il suo ID. Per informazioni, consulta [Creating and Updating Health Checks](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) nella Amazon Route 53 Developer Guide.

1. In Shield Advanced, associa il nuovo controllo dello stato alla risorsa. 

# Esempi di Health check per Shield Advanced
<a name="health-checks-examples"></a>

Questa sezione mostra esempi di controlli sanitari che è possibile utilizzare in un controllo sanitario calcolato. Un controllo sanitario calcolato utilizza una serie di controlli sanitari individuali per determinare uno stato combinato. Lo stato di ogni singolo controllo sanitario si basa sullo stato di un endpoint o sullo stato di una CloudWatch metrica Amazon. Combini i controlli sanitari in un controllo sanitario calcolato e quindi configuri il controllo sanitario calcolato per riportare lo stato di salute in base allo stato di salute combinato dei singoli controlli sanitari. Regola la sensibilità dei controlli sanitari calcolati in base ai requisiti di prestazioni e disponibilità delle applicazioni. 

Per informazioni sui controlli sanitari calcolati, consulta [Monitoraggio di altri controlli sanitari (controlli sanitari calcolati)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) nella Amazon Route 53 Developer Guide. Per ulteriori informazioni, consulta il post sul blog [Route 53 Improvements — Calculated Health Checks and Latency Checks](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/).

**Topics**
+ [CloudFront Distribuzioni Amazon](#health-checks-example-cloudfront)
+ [Sistemi di load balancer](#health-checks-example-load-balancer)
+ [Indirizzo IP EC2 elastico Amazon (EIP)](#health-checks-example-elastic-ip)

## CloudFront Distribuzioni Amazon
<a name="health-checks-example-cloudfront"></a>

Gli esempi seguenti descrivono i controlli sanitari che potrebbero essere combinati in un controllo sanitario calcolato per una CloudFront distribuzione: 
+ Monitora un endpoint specificando un nome di dominio in un percorso sulla distribuzione che fornisce contenuti dinamici. Una risposta valida includerebbe i codici di risposta HTTP 2xx e 3xx.
+ Monitora lo stato di un CloudWatch allarme che misura lo stato dell' CloudFront origine. Ad esempio, puoi mantenere un CloudWatch allarme sulla metrica `TargetResponseTime` Application Load Balancer e creare un controllo dello stato che rifletta lo stato dell'allarme. Il controllo di integrità può non essere corretto quando il tempo di risposta, tra la richiesta che esce dal sistema di bilanciamento del carico e il momento in cui il load balancer riceve una risposta dal bersaglio, supera la soglia configurata nell'allarme.
+ Monitora lo stato di un CloudWatch allarme che misura la percentuale di richieste per cui il codice di stato HTTP della risposta è 5xx. Se il tasso di errore 5xx della CloudFront distribuzione è superiore alla soglia definita nell' CloudWatch allarme, lo stato di questo controllo sanitario diventerà non integro. 

## Sistemi di load balancer
<a name="health-checks-example-load-balancer"></a>

Gli esempi seguenti descrivono i controlli di integrità che potrebbero essere utilizzati nei controlli di integrità calcolati per un acceleratore standard Application Load Balancer, Network Load Balancer o Global Accelerator. 
+ Monitora lo stato di un CloudWatch allarme che misura il numero di nuove connessioni stabilite dai client al sistema di bilanciamento del carico. È possibile impostare la soglia di allarme per il numero medio di nuove connessioni in una certa misura superiore alla media giornaliera. Le metriche per ogni tipo di risorsa sono le seguenti: 
  + Application Load Balancer: `NewConnectionCount`
  + Network Load Balancer: `ActiveFlowCount`
  + Acceleratore globale: `NewFlowCount`
+ Per Application Load Balancer e Network Load Balancer, monitora lo stato di CloudWatch un allarme che misura il numero di sistemi di bilanciamento del carico considerati integri. È possibile impostare la soglia di allarme sulla zona di disponibilità o sul numero minimo di host integri richiesto dal sistema di bilanciamento del carico. Le metriche disponibili per le risorse del load balancer sono le seguenti: 
  + Application Load Balancer: `HealthyHostCount`
  + Network Load Balancer: `HealthyHostCount`
+ Per Application Load Balancer, monitora lo stato di un CloudWatch allarme che misura il numero di codici di risposta HTTP 5xx generati dagli obiettivi del load balancer. Per un Application Load Balancer, puoi utilizzare la metrica `HTTPCode_Target_5XX_Count` e basare la soglia di allarme sulla somma di tutti gli errori 5xx per il load balancer. 

## Indirizzo IP EC2 elastico Amazon (EIP)
<a name="health-checks-example-elastic-ip"></a>

I seguenti esempi di controlli sanitari potrebbero essere combinati in un controllo sanitario calcolato per un indirizzo IP EC2 elastico Amazon: 
+ Monitora un endpoint specificando un indirizzo IP sull'indirizzo IP elastico. Il controllo dello stato rimarrà valido finché sarà possibile stabilire una connessione TCP con la risorsa associata all'indirizzo IP.
+ Monitora lo stato di un CloudWatch allarme che misura la percentuale di unità di EC2 calcolo Amazon allocate attualmente in uso sull'istanza. Puoi utilizzare il EC2 parametro Amazon `CPUUtilization` e basare la soglia di allarme su quello che consideri un elevato tasso di utilizzo della CPU per la tua applicazione, ad esempio il 90%.

# Aggiungere AWS Shield Advanced protezione alle AWS risorse
<a name="configure-new-protection"></a>

Segui le indicazioni in questa sezione per aggiungere la protezione Shield Advanced a una o più risorse.

**Per aggiungere protezione a una AWS risorsa**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel pannello di navigazione, sotto AWS Shield scegli **Risorse protette**. 

1. Scegli **Aggiungi risorse da proteggere**.

1. Nella pagina **Scegli le risorse da proteggere con Shield Advanced**, in **Specificare l'area e i tipi di risorse**, fornisci le specifiche della regione e del tipo di risorsa per le risorse che desideri proteggere. È possibile proteggere le risorse in più regioni selezionando **Tutte le regioni** e restringere la selezione alle risorse globali selezionando **Globale**. È possibile deselezionare tutti i tipi di risorse che non si desidera proteggere. Per informazioni sulle protezioni per i tipi di risorse, consulta. [Elenco di risorse che AWS Shield Advanced proteggono](ddos-protections-by-resource-type.md)

1. Scegli **Carica risorse**. Shield Advanced compila la sezione **Seleziona risorse** con le AWS risorse che corrispondono ai tuoi criteri. 

1. Nella sezione **Seleziona risorse**, puoi filtrare l'elenco delle risorse inserendo una stringa da cercare negli elenchi delle risorse. 

   Seleziona le risorse che desideri proteggere.

1. Nella sezione **Tag**, se desideri aggiungere tag alle protezioni Shield Advanced che stai creando, specificali. Per informazioni sull'etichettatura AWS delle risorse, consulta [Lavorare con Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Scegli **Proteggi con Shield Advanced**. Ciò aggiunge le protezioni Shield Advanced alle risorse.

# Modificare AWS Shield Advanced le protezioni
<a name="manage-protection"></a>

Puoi modificare le impostazioni delle tue AWS Shield Advanced protezioni in qualsiasi momento. Per fare ciò, consulta le opzioni per le protezioni selezionate e modifica le impostazioni che devi modificare. 

**Per gestire le risorse protette**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona le risorse che desideri proteggere. 

1. Scegli **Configura le protezioni** e l'opzione di specifica delle risorse che desideri.

1. Esamina ciascuna delle opzioni di protezione delle risorse, apportando le modifiche necessarie. 

## Configura le protezioni del livello DDo S dell'applicazione
<a name="configure-app-layer-protection"></a>

Per proteggerti dagli attacchi alle risorse Amazon CloudFront e Application Load Balancer, puoi aggiungere regole AWS WAF web ACLs e basate sulla velocità. Per informazioni a riguardo, consulta. [Protezione del livello applicativo con AWS WAF web ACLs e Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

Puoi anche abilitare la mitigazione automatica del livello DDo S di applicazione Shield Advanced. Per informazioni su come AWS WAF funziona, consulta[AWS WAF](waf-chapter.md). Per informazioni sulla funzionalità di mitigazione automatica, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).

**Importante**  
Se gestisci le tue protezioni Shield Advanced AWS Firewall Manager utilizzando una policy Shield Advanced, non puoi gestire le protezioni a livello di applicazione qui. Per tutte le altre risorse, consigliamo di allegare almeno un ACL Web a ciascuna risorsa, anche se l'ACL Web non contiene alcuna regola.

**Nota**  
Quando abiliti la mitigazione automatica del livello di applicazione DDo S per una risorsa, se necessario, l'operazione aggiunge automaticamente un ruolo collegato al servizio al tuo account per fornire a Shield Advanced le autorizzazioni necessarie per gestire le protezioni ACL Web. Per informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Shield Advanced](shd-using-service-linked-roles.md).

**Per configurare le protezioni del livello di applicazione S DDo**

1. Nella pagina **Configura le protezioni del livello 7 DDo S**, se la risorsa non è già associata a un ACL Web, puoi scegliere un ACL Web esistente o crearne uno personalizzato. 

   Per creare un'ACL Web, seguire queste fasi:

   1. Scegliere **Create web ACL (Crea ACL Web)**.

   1. Inserire un nome. Non è possibile modificare il nome dopo aver creato l'ACL Web.

   1. Scegli **Create** (Crea).
**Nota**  
Se una risorsa è già associata a un'ACL Web, non è possibile modificarla in un'ACL Web differente. Se desideri modificare l'ACL Web, devi prima rimuovere il Web ACLs associato dalla risorsa. Per ulteriori informazioni, consulta [Associare o dissociare la protezione a una risorsa AWS](web-acl-associating-aws-resource.md).

1. Se l'ACL Web non ha una regola basata sulla tariffa definita, puoi aggiungerne una scegliendo **Aggiungi regola limite di velocità** e quindi eseguendo i seguenti passaggi:

   1. Inserire un nome.

   1. Inserire un limite di frequenza Questo è il numero massimo di richieste consentite in un periodo di cinque minuti da un singolo indirizzo IP prima che l'azione della regola basata sulla frequenza venga applicata all'indirizzo IP. Quando le richieste provenienti dall'indirizzo IP scendono al di sotto del limite, l'azione viene interrotta. 

   1. Imposta l'azione della regola per contare o bloccare le richieste provenienti dagli indirizzi IP quando il numero delle richieste supera il limite. L'applicazione e la rimozione dell'azione della regola potrebbero avere effetto uno o due minuti dopo la modifica della frequenza di richiesta dell'indirizzo IP. 

   1. Scegli **Aggiungi regola**.

1. Per la **mitigazione automatica del livello di applicazione DDo S**, scegli se desideri che Shield Advanced mitighi automaticamente gli attacchi DDo S per tuo conto, come segue: 
   + Per abilitare la mitigazione automatica, scegli **Abilita**, quindi seleziona l'azione della AWS WAF regola che desideri che Shield Advanced utilizzi nelle sue regole personalizzate. Le tue scelte sono Count e. Block Per informazioni su queste azioni delle AWS WAF regole, vedere[Utilizzo delle azioni delle regole in AWS WAF](waf-rule-action.md). Per informazioni su come Shield Advanced gestisce questa impostazione di azione, vedere[In che modo Shield Advanced gestisce l'impostazione delle azioni delle regole](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action).
   + Per disabilitare la mitigazione automatica, scegli **Disabilita**. 
   + Per lasciare invariate le impostazioni di mitigazione automatica per le risorse che gestisci, lascia la scelta predefinita **Mantieni** le impostazioni correnti. 

   Per informazioni sulla mitigazione automatica del livello DDo S di applicazione Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md).

1. Scegli **Next (Successivo)**. 

# Creazione di allarmi e notifiche per le risorse protette da Shield Advanced
<a name="add-alarm-ddos"></a>

La procedura seguente mostra come gestire gli CloudWatch allarmi per le risorse protette. 

**Nota**  
CloudWatch comporta costi aggiuntivi. Per CloudWatch i prezzi, consulta la pagina [ CloudWatch dei prezzi di Amazon](https://aws.amazon.com/cloudwatch/pricing/).

**Per creare allarmi e notifiche**

1. Nella pagina delle protezioni **Crea allarmi e notifiche: *facoltativo***, configura gli argomenti SNS per gli allarmi e le notifiche che desideri ricevere. Per le risorse per le quali non si desidera ricevere notifiche, scegliere **No topic (Nessun argomento)**. Puoi aggiungere un argomento Amazon SNS o crearne uno nuovo. 

1. Per creare un argomento su Amazon SNS, segui questi passaggi:

   1. Nell'elenco a discesa, scegli **Crea un argomento SNS**.

   1. Inserisci un nome dell'argomento. 

   1. Facoltativamente, inserisci un indirizzo e-mail a cui verranno inviati i messaggi Amazon SNS, quindi **scegli** Aggiungi e-mail. Puoi inserirne più di uno.

   1. Scegli **Create** (Crea).

1. Scegli **Next (Successivo)**.

# Rimuovere AWS Shield Advanced la protezione da una AWS risorsa
<a name="remove-protection"></a>

Puoi rimuovere AWS Shield Advanced la protezione da qualsiasi AWS risorsa in qualsiasi momento. 

**Importante**  
L'eliminazione di una AWS risorsa non rimuove la risorsa da AWS Shield Advanced. È inoltre necessario rimuovere la protezione sulla risorsa da AWS Shield Advanced, come descritto in questa procedura.

**Rimuovere AWS Shield Advanced la protezione da una AWS risorsa**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Protezioni**, seleziona le risorse di cui desideri rimuovere le protezioni. 

1. Scegli **Elimina protezioni**.

   1. Se hai un CloudWatch allarme Amazon configurato per una protezione, hai la possibilità di eliminare l'allarme insieme alla protezione. Se scegli di non eliminare l'allarme a questo punto, puoi invece eliminarlo in un secondo momento utilizzando la CloudWatch console.
**Nota**  
Per le protezioni per cui è configurato un controllo dello stato di Amazon Route 53, se aggiungi nuovamente la protezione in un secondo momento, la protezione include comunque il controllo dello stato. 

I passaggi precedenti rimuovono la AWS Shield Advanced protezione da risorse specifiche AWS . Non annullano il tuo AWS Shield Advanced abbonamento. Continueranno a essere addebitati costi per il servizio. Per informazioni sull' AWS Shield Advanced abbonamento, contatta il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/).

## Rimuovere un CloudWatch allarme dalle protezioni Shield Advanced
<a name="remove-cloudwatch-ddos"></a>

Per rimuovere un CloudWatch allarme dalle protezioni Shield Advanced, esegui una delle seguenti operazioni:
+ Eliminare la protezione come descritto su [Rimuovere AWS Shield Advanced la protezione da una AWS risorsa](#remove-protection). Assicurati di selezionare la casella di controllo accanto a **Elimina anche gli DDo SDetection avvisi correlati**.
+ Elimina l'allarme utilizzando la CloudWatch console. Il nome dell'allarme da eliminare inizia con **DDoSDetectedAlarmForProtection**.

# Raggruppamento delle protezioni AWS Shield Advanced
<a name="ddos-protection-groups"></a>

Utilizza i gruppi di protezione per creare raccolte logiche delle risorse protette e gestirne le protezioni come gruppo. Per informazioni sulla gestione della protezione delle risorse, vedere. [Modificare AWS Shield Advanced le protezioni](manage-protection.md) 

**Nota**  
La mitigazione automatica del livello di applicazione DDo S non interagisce con i gruppi di protezione. È possibile abilitare la mitigazione automatica per le risorse che si trovano nei gruppi di protezione, ma Shield Advanced non applica automaticamente le mitigazioni degli attacchi in base ai risultati dei gruppi di protezione. Shield Advanced applica mitigazioni automatiche degli attacchi per le singole risorse.

AWS Shield Advanced i gruppi di protezione offrono una soluzione self-service per personalizzare l'ambito di rilevamento e mitigazione trattando più risorse protette come un'unica unità. Il raggruppamento delle risorse può offrire una serie di vantaggi. 
+ Migliora la precisione del rilevamento. 
+ Riduci le notifiche di eventi irrealizzabili. 
+ Aumenta la copertura delle azioni di mitigazione per includere risorse protette che potrebbero essere colpite anche durante un evento. 
+ Accelera i tempi di mitigazione degli attacchi con più obiettivi simili. 
+ Facilita la protezione automatica delle risorse protette appena create. 

I gruppi di protezione possono contribuire a ridurre i falsi positivi in situazioni come lo blue/green swap, in cui le risorse sono a carico quasi zero o a pieno carico. Un altro esempio è quando si creano ed eliminano risorse frequentemente mantenendo un livello di carico condiviso tra i membri del gruppo. In situazioni come queste, il monitoraggio delle singole risorse può portare a falsi positivi, mentre il monitoraggio dello stato del gruppo di risorse no. 

È possibile configurare i gruppi di protezione in modo da includere tutte le risorse protette, tutte le risorse di tipi di risorse specifici o risorse specificate individualmente. Le nuove risorse protette che soddisfano i criteri del gruppo di protezione vengono automaticamente incluse nel gruppo di protezione. Una risorsa protetta può appartenere a più gruppi di protezione. 

# Creazione di un gruppo di protezione Shield Advanced
<a name="protection-group-creating"></a>

**Per creare un gruppo di protezione**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Scegli la scheda **Gruppi di protezione**, quindi scegli **Crea gruppo di protezione**. 

1. Nella pagina **Crea gruppo di protezione**, fornisci un nome per il tuo gruppo. Utilizzerai questo nome per identificare il gruppo nell'elenco delle risorse protette. Non è possibile modificare il nome di un gruppo di protezione dopo averlo creato. 

1. Per **i criteri di raggruppamento della protezione**, selezionare i criteri che Shield Advanced deve utilizzare per identificare le risorse protette da includere nel gruppo. Effettua le tue selezioni aggiuntive in base ai criteri che hai scelto.

1. Per **Aggregazione**, seleziona il modo in cui desideri che Shield Advanced combini i dati delle risorse per il gruppo al fine di rilevare, mitigare e segnalare gli eventi.
   + **Somma**: utilizza il traffico totale all'interno del gruppo. Questa è una buona scelta per la maggior parte dei casi. Gli esempi includono indirizzi IP elastici per EC2 istanze Amazon con scalabilità manuale o automatica. 
   + **Media**: utilizza la media del traffico all'interno del gruppo. Questa è una buona scelta per le risorse che condividono il traffico in modo uniforme. Gli esempi includono acceleratori e sistemi di bilanciamento del carico. 
   + **Max**: utilizza il traffico più elevato proveniente da ciascuna risorsa. Ciò è utile per le risorse che non condividono il traffico e per le risorse che condividono il traffico in modo non uniforme. Gli esempi includono CloudFront le distribuzioni Amazon e le risorse di origine per le CloudFront distribuzioni. 

1. Scegli **Salva** per salvare il tuo gruppo di protezione e tornare alla pagina **Risorse protette**.

Nella pagina **Shield** **Events**, puoi visualizzare gli eventi per il tuo gruppo di protezione ed espandere la visualizzazione di informazioni aggiuntive sulle risorse protette che fanno parte del gruppo. 

# Aggiornamento di un gruppo di protezione Shield Advanced
<a name="protection-group-updating"></a>

**Per aggiornare un gruppo di protezione**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Gruppi di protezione**, seleziona la casella di controllo accanto al gruppo di protezione che desideri modificare. 

1. Nella pagina del gruppo di protezione, scegli **Modifica**. Apporta le modifiche alle impostazioni del gruppo di protezione. 

1. Scegli **Salva** per salvare le modifiche.

# Eliminazione di un gruppo di protezione Shield Advanced
<a name="protection-group-deleting"></a>

**Per eliminare un gruppo di protezione**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Risorse protette**.

1. Nella scheda **Gruppi di protezione**, seleziona la casella di controllo accanto al gruppo di protezione che desideri rimuovere. 

1. Nella pagina del gruppo di protezione, scegli **Elimina** e conferma l'azione. 

# Modifiche alla protezione delle risorse Tracking Shield Advanced in AWS Config
<a name="ddos-add-config"></a>

Questa pagina spiega come registrare le modifiche alla AWS Shield Advanced protezione delle risorse utilizzando AWS Config. Puoi utilizzare queste informazioni per conservare una cronologia delle modifiche di configurazione per eventuali audit e per la risoluzione dei problemi.

Per registrare le modifiche alla protezione, abilita l'opzione AWS Config per ogni risorsa che desideri monitorare. Per ulteriori informazioni, consulta [Nozioni di base su AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) nella *AWS Config Guida per gli sviluppatori*.

È necessario AWS Config abilitarlo per ogni risorsa Regione AWS che contiene le risorse tracciate. È possibile abilitare AWS Config manualmente oppure utilizzare il CloudFormation modello «Enable AWS Config» in [CloudFormation StackSets Sample Templates](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) nella *Guida per l'CloudFormation utente*.

Se abiliti AWS Config, ti verranno addebitati i costi come indicato nella pagina [AWS Config Prezzi](https://aws.amazon.com/config/pricing/).

**Nota**  
Se hai già AWS Config abilitato le regioni e le risorse necessarie, non devi fare nulla. AWS Config i registri relativi alle modifiche alla protezione delle risorse iniziano a essere compilati automaticamente.

Dopo l'attivazione AWS Config, utilizza la regione Stati Uniti orientali (Virginia settentrionale) nella AWS Config console per visualizzare la cronologia delle modifiche alla configurazione per AWS Shield Advanced le risorse globali. 

Visualizza la cronologia delle modifiche per le risorse AWS Shield Advanced regionali tramite la AWS Config console nelle regioni Stati Uniti orientali (Virginia settentrionale), Stati Uniti orientali (Ohio), Stati Uniti occidentali (Oregon), Stati Uniti occidentali (California settentrionale), Europa (Irlanda), Europa (Francoforte), Asia Pacifico (Tokyo) e Asia Pacifico (Sydney).

# Visibilità sugli eventi DDo S con Shield Advanced
<a name="ddos-viewing-events"></a>

AWS Shield offre visibilità nelle seguenti categorie di eventi e attività legate agli eventi: 
+ **Globale**: tutti i clienti possono accedere a una visione aggregata dell'attività globale delle minacce nelle ultime due settimane. Puoi visualizzare queste informazioni nelle pagine **Getting Started** e **Global Threat dashboard** della AWS Shield console. Per ulteriori informazioni, consulta [Visualizzazione AWS Shield dell'attività globale e dell'account](ddos-standard-event-visibility.md).
+ **Account**: tutti i clienti possono accedere a un riepilogo degli eventi relativi al proprio account nell'anno precedente. Puoi visualizzare queste informazioni nella pagina **Guida introduttiva** della AWS Shield console. Per ulteriori informazioni, consulta [Visualizzazione AWS Shield dell'attività globale e dell'account](ddos-standard-event-visibility.md).

Quando ti abboni a Shield Advanced e aggiungi protezioni alle tue risorse, accedi a informazioni aggiuntive sugli eventi e sugli attacchi DDo S alle risorse protette:
+ **Eventi su risorse protette**: Shield Advanced fornisce informazioni dettagliate per ogni evento tramite la pagina **Eventi** della AWS Shield console. Per ulteriori informazioni, consulta [Visualizzazione AWS Shield Advanced degli eventi](ddos-events.md).
+ **Metriche degli eventi per risorse protette**: Shield Advanced pubblica i CloudWatch parametri di rilevamento, mitigazione e i principali contributori di Amazon per tutte le risorse che protegge. Puoi utilizzare queste metriche per configurare dashboard e allarmi. CloudWatch Per ulteriori informazioni, consulta [AWS Shield Advanced metriche](shield-metrics.md).
+ **Visibilità degli eventi su più account per le risorse protette**: se utilizzi AWS Firewall Manager per gestire le protezioni Shield Advanced, puoi abilitare la visibilità delle protezioni su più account utilizzando Firewall Manager in combinazione con. AWS Security Hub CSPM Per ulteriori informazioni, consulta [Visualizzazione degli eventi Shield Advanced su più Account AWS canali con AWS Firewall Manager e AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md).

Se abiliti la mitigazione automatica del livello di applicazione DDo S per una protezione a livello di applicazione, Shield Advanced aggiunge un gruppo di regole al tuo pacchetto di protezione (ACL web) che utilizza per gestire le protezioni automatiche. Questo gruppo di regole genera AWS WAF metriche, ma non sono disponibili per la visualizzazione. È lo stesso di tutti gli altri gruppi di regole utilizzati nel pacchetto di protezione (Web ACL) ma che non possiedi, come i gruppi di regole AWS Managed Rules. Per ulteriori informazioni sulle AWS WAF metriche, consulta. [AWS WAF metriche e dimensioni](waf-metrics.md) Per informazioni su questa opzione di protezione Shield Advanced, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md). 

**Topics**
+ [Visualizzazione AWS Shield dell'attività globale e dell'account](ddos-standard-event-visibility.md)
+ [Visualizzazione AWS Shield Advanced degli eventi](ddos-events.md)
+ [Visualizzazione degli eventi Shield Advanced su più Account AWS canali con AWS Firewall Manager e AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)

# Visualizzazione AWS Shield dell'attività globale e dell'account
<a name="ddos-standard-event-visibility"></a>

Questa pagina fornisce istruzioni per accedere a una visualizzazione aggregata dell'attività globale delle minacce e a un riepilogo degli eventi per account nelle pagine **Getting Started** della AWS Shield console e **Global threat dashboard**. 

**La schermata seguente mostra un esempio di pagina Getting Started.** 

![\[La AWS Shield console mostra la pagina Guida introduttiva, contenente i riquadri di riepilogo delle minacce globali e degli eventi relativi all'account.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-global-account.png)


**Per accedere alla console AWS Shield**
+ Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

Non è necessario un abbonamento a Shield Advanced per accedere alle informazioni di riepilogo delle attività globali e degli eventi dell'account. 

**Attività globale**  
 Queste informazioni sono disponibili tramite la AWS Shield console **Global Threat dashboard** e le pagine **Getting Started**. La schermata seguente mostra un esempio del riquadro delle attività globali. 

![\[Un riquadro AWS Shield della console intitolato Attività globale rilevata da Shield mostra una mappa del mondo sovrapposta ai contrassegni della mappa termica delle aree in cui sono state rilevate minacce globali nelle ultime due settimane.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-global-activity.png)


L'attività globale descrive gli eventi DDo S osservati in tutti i clienti. AWS Una volta all'ora, AWS aggiorna le informazioni per le due settimane precedenti. Nel riquadro della console, puoi vedere i risultati, suddivisi per AWS regione e visualizzati su una mappa termica mondiale. Accanto alla mappa, Shield visualizza informazioni di riepilogo come il più grande attacco a pacchetto, il bit rate più elevato, il vettore più comune, il numero totale di attacchi e il livello di minaccia. Il livello di minaccia è una valutazione dell'attuale attività globale rispetto a quella AWS normalmente osservata. Il valore predefinito del livello di minaccia è **Normale**. AWS aggiorna automaticamente il valore su **Alto per un'**attività DDo S elevata. 

Il **pannello di controllo delle minacce globali** fornisce anche metriche relative alle serie temporali e offre la possibilità di passare da una durata all'altra. Per visualizzare la cronologia degli attacchi DDo S significativi, puoi personalizzare la dashboard per visualizzare le visualizzazioni dall'ultimo giorno alle ultime due settimane. Le metriche relative alle serie temporali forniscono una visualizzazione del bit rate, della frequenza dei pacchetti o della frequenza di richiesta massimi per tutti gli eventi rilevati da AWS Shield per le applicazioni in esecuzione AWS durante la finestra temporale selezionata. 

**Attività dell'account**  
Queste informazioni sono disponibili nella pagina **Getting AWS Shield Started** della console. 

La schermata seguente mostra un esempio di riquadro delle attività dell'account. 

![\[Un riquadro AWS Shield della console intitolato Attività dell'account rilevata da Shield elenca un riepilogo degli eventi dell'anno passato, con informazioni come il numero totale di eventi e la frequenza di pacchetti e la frequenza di richieste massime.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-account-activity.png)


L'attività dell'account descrive gli eventi DDo S rilevati da Shield per le tue risorse idonee alla protezione da parte di Shield Advanced. Ogni giorno, Shield crea metriche di riepilogo per l'anno che termina alle 00:00 UTC del giorno precedente, quindi visualizza gli eventi totali, la velocità di trasmissione massima, la frequenza di pacchetti massima e la frequenza di richiesta massima. 
+ La metrica degli eventi totali riflette ogni volta che Shield ha rilevato attributi sospetti nel traffico destinato alla tua applicazione. Gli attributi sospetti possono includere traffico con un volume superiore al normale, traffico che non corrisponde al profilo storico dell'applicazione o traffico che non corrisponde alle euristiche definite da Shield per il traffico applicativo valido. 
+ Per ogni risorsa sono disponibili le statistiche sulla velocità in bit e sulla velocità di pacchetto più elevata. 
+ La statistica sulla frequenza di richiesta massima è disponibile solo per CloudFront le distribuzioni Amazon e gli Application Load Balancer a cui è associato un ACL Web. AWS WAF 

**Nota**  
Puoi anche accedere al riepilogo degli eventi a livello di account tramite l'operazione API. AWS Shield [DescribeAttackStatistics](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html)

# Visualizzazione AWS Shield Advanced degli eventi
<a name="ddos-events"></a>

Questa pagina fornisce istruzioni per accedere alle informazioni sugli eventi in Shield Advanced.

Quando ti abboni a Shield Advanced e proteggi le tue risorse, accedi a funzionalità di visibilità aggiuntive per le risorse. Questi includono la notifica quasi in tempo reale degli eventi rilevati da Shield Advanced e informazioni aggiuntive sugli eventi rilevati e sulle mitigazioni. 

**Nota**  
Le informazioni sugli eventi nella console Shield Advanced si basano sulle metriche di Shield Advanced. Per informazioni sulle metriche Shield Advanced, consulta [AWS Shield Advanced metriche](shield-metrics.md) 

AWS Shield valuta il traffico verso la risorsa protetta secondo più dimensioni. Quando viene rilevata un'anomalia, Shield Advanced crea un evento separato per ogni risorsa interessata. 

Puoi accedere ai riepiloghi e ai dettagli degli eventi tramite la pagina **Eventi** della console Shield. La pagina **Eventi** di primo livello fornisce una panoramica degli eventi attuali e passati. 

La schermata seguente mostra un esempio di pagina **Eventi** con un singolo evento in corso. Questo evento attivo è contrassegnato anche nel riquadro di navigazione a sinistra. 

![\[Nel riquadro di navigazione a sinistra della AWS Shield console la selezione Eventi è evidenziata in rosso, accanto al numero 1, all'interno di un cerchio rosso. La pagina Eventi è aperta e mostra una singola riga nell'elenco degli eventi. La riga elenca una AWS risorsa di tipo CloudFront distribuito. Il campo Stato attuale contiene un'icona triangolare rossa accanto alle parole Attenuazione in corso. Il campo Attack vectors status contiene traffico UDP. Il campo Ora di inizio contiene il 16 settembre 2020, 14:43:00 SAST. Il campo Durata contiene 6 minuti.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-event-summary1.png)


Shield Advanced potrebbe anche adottare automaticamente misure di mitigazione contro gli attacchi, a seconda del tipo di traffico e delle protezioni configurate. Queste mitigazioni possono proteggere la tua risorsa dalla ricezione di traffico in eccesso o di traffico che corrisponde a una firma di attacco DDo S nota.

La schermata seguente mostra un esempio di elenco **degli eventi** in cui tutti gli eventi sono stati mitigati da Shield Advanced o si sono attenuati da soli. 

![\[Una pagina della AWS Shield console intitolata Eventi elenca gli eventi che sono stati rilevati di recente e il loro stato attuale.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-events.png)


**Proteggi le tue risorse prima di un evento**  
Migliora la precisione del rilevamento degli eventi proteggendo le risorse con Shield Advanced mentre ricevono il normale traffico previsto, prima che siano soggette a un attacco DDo S.

Per segnalare con precisione gli eventi relativi a una risorsa protetta, Shield Advanced deve innanzitutto stabilire una linea di base dei modelli di traffico previsti per tale risorsa.
+ Shield Advanced segnala gli eventi a livello di infrastruttura per le risorse dopo che sono state protette per almeno 15 minuti.
+ Shield Advanced segnala gli eventi a livello di applicazione Web per le risorse dopo che sono state protette per almeno 24 ore. La precisione del rilevamento degli eventi a livello di applicazione è ottimale dopo che Shield Advanced ha osservato il traffico previsto per 30 giorni. 

**Per accedere alle informazioni sugli eventi nella AWS Shield console**

1. Accedi Console di gestione AWS e apri la console AWS WAF & Shield all'indirizzo [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Nel riquadro AWS Shield di navigazione, scegli **Eventi**. La console mostra la pagina **Eventi**. 

1. Dalla pagina **Eventi**, puoi selezionare qualsiasi evento nell'elenco per visualizzare ulteriori informazioni di riepilogo e dettagli sull'evento. 

**Topics**
+ [Elenco dei campi nei riepiloghi AWS Shield Advanced degli eventi](ddos-event-summaries.md)
+ [Visualizzazione dei dettagli AWS Shield Advanced dell'evento](ddos-event-details.md)

# Elenco dei campi nei riepiloghi AWS Shield Advanced degli eventi
<a name="ddos-event-summaries"></a>

Questa pagina elenca e definisce i campi nei riepiloghi degli eventi Shield Advanced.

È possibile visualizzare informazioni di riepilogo e dettagli per un evento nella pagina della console dell'evento. Per aprire la pagina di un evento, selezionate il nome della AWS risorsa dall'elenco delle pagine **Eventi**. 

La schermata seguente mostra un esempio di riepilogo di un evento a livello di rete. 

![\[Il riquadro di riepilogo della pagina degli eventi della AWS Shield console elenca le informazioni relative a un evento e include la AWS risorsa interessata, i vettori di attacco, gli orari di inizio e di fine e le informazioni sulla mitigazione e sullo stato.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-event-summary2.png)


Le informazioni di riepilogo della pagina dell'evento includono quanto segue. 
+ **Stato attuale**: valori che indicano lo stato dell'evento e le azioni intraprese da Shield Advanced sull'evento. I valori di stato si applicano agli eventi a livello di infrastruttura (livello 3 o 4) e a livello di applicazione (livello 7). 
  + **Identificato (in corso)** e **Identificato (attenuato)**: indicano che Shield Advanced ha rilevato un evento, ma finora non ha intrapreso alcuna azione al riguardo. **Identificato (attenuato)** indica che il traffico sospetto rilevato da Shield si è interrotto senza intervento. 
  + **Attenuazione in corso** e **mitigata**: indicano che Shield Advanced ha rilevato un evento e ha preso provvedimenti in merito. **Mitigated** viene utilizzato anche quando la risorsa di destinazione è una CloudFront distribuzione Amazon o una zona ospitata di Amazon Route 53, che dispongono di mitigazioni automatiche in linea.
+ Vettori di **attacco: vettori** di attacco DDo S come TCP SYN flood ed euristiche di rilevamento Shield Advanced come request flood. Questi possono essere indicatori di un attacco S. DDo 
+ **Ora di inizio**: la data e l'ora in cui è stato rilevato il primo punto dati anomalo sul traffico. 
+ **Durata o ora di fine**: indica il tempo trascorso tra l'ora di inizio dell'evento e l'ultimo punto dati anomalo osservato da Shield Advanced. Mentre un evento è in corso, questi valori continueranno ad aumentare.
+ **Protezione**: assegna un nome alla protezione Shield Advanced associata alla risorsa e fornisce un collegamento alla relativa pagina di protezione. È disponibile nella pagina del singolo evento.
+ **Mitigazione automatica del livello di applicazione DDo S**: utilizzata per la protezione a livello di applicazione, per indicare se la mitigazione automatica del livello di applicazione DDo S di Shield Advanced è abilitata per la risorsa. Se è abilitata, fornisce un collegamento per accedere e gestire la configurazione. È disponibile nella pagina del singolo evento.
+ **Attenuazione automatica a livello di rete**: indica se la risorsa dispone di una mitigazione automatica a livello di rete. Se una risorsa ha un componente a livello di rete, lo avrà abilitato. Queste informazioni sono disponibili nella pagina del singolo evento.

Per le risorse che vengono spesso prese di mira, Shield può lasciare in atto delle mitigazioni dopo che il traffico in eccesso si è attenuato, per prevenire ulteriori eventi ricorrenti. 

**Nota**  
Puoi anche accedere ai riepiloghi degli eventi per le risorse protette tramite l'operazione API. AWS Shield [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)

# Visualizzazione dei dettagli AWS Shield Advanced dell'evento
<a name="ddos-event-details"></a>

Puoi visualizzare i dettagli sul rilevamento e la mitigazione di un evento e sui principali contributori nella sezione inferiore della pagina della console relativa all'evento. Questa sezione può includere una combinazione di traffico legittimo e potenzialmente indesiderato e può rappresentare sia il traffico passato alla risorsa protetta sia il traffico bloccato dalle mitigazioni Shield.
+ **Rilevamento e mitigazione**: fornisce informazioni sull'evento osservato e sulle eventuali misure di mitigazione applicate a tale evento. Per informazioni sulla mitigazione degli eventi, vedere. [Risposta agli eventi DDo S in AWS](ddos-responding.md)
+ **Collaboratori principali**: classifica il traffico coinvolto nell'evento ed elenca le fonti di traffico principali che Shield ha identificato per ciascuna categoria. Per gli eventi a livello di applicazione, utilizza le informazioni dei principali contributori per avere un'idea generale della natura di un evento, ma usa AWS WAF i log per le tue decisioni di sicurezza. Per ulteriori informazioni, consultate le sezioni seguenti.

Le informazioni sugli eventi nella console Shield Advanced si basano sulle metriche di Shield Advanced. Per informazioni sulle metriche Shield Advanced, consulta [AWS Shield Advanced metriche](shield-metrics.md) 

I parametri di mitigazione non sono inclusi per le risorse CloudFront Amazon o Amazon Route 53, poiché questi servizi sono protetti da un sistema di mitigazione che è sempre abilitato e non richiede mitigazioni per singole risorse. 

Le sezioni dei dettagli variano a seconda che le informazioni si riferiscano a un evento a livello di infrastruttura o a livello applicativo. 

**Topics**
+ [Visualizzazione dei dettagli degli eventi a livello di applicazione (livello 7) in Shield Advanced](ddos-event-details-application-layer.md)
+ [Visualizzazione dei dettagli degli eventi a livello di infrastruttura (livello 3 o 4) in Shield Advanced](ddos-event-details-infrastructure-layer.md)

# Visualizzazione dei dettagli degli eventi a livello di applicazione (livello 7) in Shield Advanced
<a name="ddos-event-details-application-layer"></a>

Puoi visualizzare i dettagli sul rilevamento e la mitigazione di un evento a livello applicativo e sui principali contributori nella sezione inferiore della pagina della console relativa all'evento. Questa sezione può includere una combinazione di traffico legittimo e potenzialmente indesiderato e può rappresentare sia il traffico passato alla risorsa protetta sia il traffico bloccato dalle mitigazioni Shield Advanced. 

I dettagli di mitigazione riguardano tutte le regole dell'ACL Web associate alla risorsa, comprese le regole implementate specificamente in risposta a un attacco e le regole basate sulla frequenza definite nell'ACL Web. Se abiliti la mitigazione automatica del livello di applicazione DDo S per un'applicazione, le metriche di mitigazione includono le metriche per tali regole aggiuntive. Per informazioni su queste protezioni a livello di applicazione, consulta. [Protezione del livello di applicazione (livello 7) con AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md)

## Rilevamento e mitigazione
<a name="ddos-event-details-application-layer-detection-mitigation"></a>

Per un evento a livello applicativo (livello 7), la scheda **Rilevamento e mitigazione** mostra le metriche di rilevamento basate sulle informazioni ottenute dai log. AWS WAF Le metriche di mitigazione si basano su AWS WAF regole dell'ACL Web associato configurate per bloccare il traffico indesiderato. 

Per CloudFront le distribuzioni Amazon, puoi configurare Shield Advanced per applicare mitigazioni automatiche al posto tuo. Con qualsiasi risorsa a livello di applicazione, puoi scegliere di definire le tue regole di mitigazione nell'ACL web e puoi richiedere assistenza allo Shield Response Team (SRT). Per informazioni su queste opzioni, consulta [Risposta agli eventi DDo S in AWS](ddos-responding.md).

La schermata seguente mostra un esempio delle metriche di rilevamento per un evento a livello applicativo che si è attenuato dopo alcune ore. 

![\[Un grafico delle metriche di rilevamento mostra il rilevamento dell'inondazione del traffico delle richieste dalle 11:30 fino alla sua cessazione alle 16:00.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-app-detection-metrics.png)


Il traffico degli eventi che diminuisce prima che una regola di mitigazione abbia effetto non è rappresentato nelle metriche di mitigazione. Ciò può comportare una differenza tra il traffico delle richieste Web mostrato nei grafici di rilevamento e le metriche di autorizzazione e blocco mostrate nei grafici di mitigazione. 

## Collaboratori principali
<a name="ddos-event-details-application-layer-top-contributors"></a>

La scheda **Collaboratori principali** per gli eventi a livello di applicazione mostra i primi 5 contributori identificati da Shield per l'evento, in base AWS WAF ai log recuperati. Shield classifica le informazioni dei principali contributori in base a dimensioni quali IP di origine, paese di origine e URL di destinazione.

**Nota**  
Per informazioni più accurate sul traffico che contribuisce a un evento a livello di applicazione, utilizzate i AWS WAF log. 

Utilizzate le informazioni sui principali contributori del livello di applicazione Shield solo per avere un'idea generale della natura di un attacco e non basate le vostre decisioni di sicurezza su di esso. Per gli eventi a livello di applicazione, AWS WAF i log sono la migliore fonte di informazioni per comprendere chi ha contribuito a un attacco e per elaborare strategie di mitigazione. 

Le informazioni sui principali contributori di Shield non sempre riflettono completamente i dati nei AWS WAF log. Quando inserisce i log, Shield dà priorità alla riduzione dell'impatto sulle prestazioni del sistema rispetto al recupero del set completo di dati dai log. Ciò può comportare una perdita di granularità nei dati disponibili per l'analisi in Shield. Nella maggior parte dei casi, la maggior parte delle informazioni è disponibile, ma è possibile che i dati dei principali contributori vengano in qualche misura distorti a causa di qualsiasi attacco. 

La schermata seguente mostra un esempio della scheda **Top contributors** per un evento a livello di applicazione. 

![\[La scheda Collaboratori principali di un evento a livello di applicazione descrive i primi 5 contributori per una serie di caratteristiche delle richieste Web. La schermata mostra i primi 5 indirizzi IP di origine, le 5 principali destinazioni URLs, i 5 principali paesi di origine e i 5 migliori agenti utente.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-app-event-top-contributors.png)


Le informazioni sui contributori si basano sulle richieste di traffico legittimo e potenzialmente indesiderato. È più probabile che gli eventi con volume maggiore e gli eventi in cui le fonti delle richieste non sono distribuite in modo uniforme abbiano contributori principali identificabili. Un attacco distribuito in modo significativo può avere un numero qualsiasi di fonti, il che rende difficile identificare i principali contributori all'attacco. Se Shield Advanced non identifica i contributori significativi per una categoria specifica, visualizza i dati come non disponibili. 

# Visualizzazione dei dettagli degli eventi a livello di infrastruttura (livello 3 o 4) in Shield Advanced
<a name="ddos-event-details-infrastructure-layer"></a>

Puoi visualizzare i dettagli sul rilevamento e la mitigazione di un evento a livello di infrastruttura e sui principali contributori nella sezione inferiore della pagina della console relativa all'evento. Questa sezione può includere una combinazione di traffico legittimo e potenzialmente indesiderato e può rappresentare sia il traffico passato alla risorsa protetta sia il traffico bloccato dalle mitigazioni Shield. 

## Rilevamento e mitigazione
<a name="ddos-event-details-infrastructure-layer-detection-mitigation"></a>

Per un evento a livello di infrastruttura (livello 3 o 4), la scheda **Rilevamento e mitigazione** mostra le metriche di rilevamento basate su flussi di rete campionati e le metriche di mitigazione basate sul traffico osservato dai sistemi di mitigazione. Le metriche di mitigazione sono una misurazione più precisa del traffico verso la risorsa. 

Shield crea automaticamente una mitigazione per i tipi di risorse protette Elastic IP (EIP), Classic Load Balancer (CLB), Application Load Balancer (ALB) e acceleratore standard. AWS Global Accelerator Le metriche di mitigazione per gli indirizzi EIP e gli acceleratori AWS Global Accelerator standard indicano il numero di pacchetti passati e rilasciati. 

La schermata seguente mostra un esempio di scheda **Rilevamento e mitigazione** per un evento a livello di infrastruttura. 

![\[I grafici di rilevamento e mitigazione per un evento di rete mostrano un aumento del traffico SYN flood e packet flood nelle metriche di rilevamento, accompagnato da un aumento delle mitigazioni che riducono il traffico pochi secondi dopo, nelle metriche di mitigazione. Dopo circa trenta secondi di maggiori mitigazioni, le alluvioni di traffico si fermano.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)


Il traffico degli eventi che si interrompe prima che Shield effettui una mitigazione non è rappresentato nelle metriche di mitigazione. Ciò può comportare una differenza tra il traffico mostrato nei grafici di rilevamento e le metriche relative al passaggio e alla caduta mostrate nei grafici di mitigazione. 

## Collaboratori principali
<a name="ddos-event-details-infrastructure-layer-top-contributors"></a>

La scheda **Collaboratori principali** per gli eventi a livello di infrastruttura elenca le metriche relative a un massimo di 100 contributori principali in diverse dimensioni del traffico. I dettagli includono le proprietà del livello di rete per qualsiasi dimensione in cui è possibile identificare almeno cinque fonti di traffico significative. Esempi di fonti di traffico sono l'IP di origine e l'ASN di origine. 

La schermata seguente mostra un esempio della scheda **Top contributors** per un evento a livello di infrastruttura. 

![\[La scheda Collaboratori principali di un evento di rete mostra le categorie di traffico che hanno contribuito maggiormente all'evento. Le categorie in questo caso includono volume per protocollo, volume per protocollo e porta di destinazione, volume per protocollo e ASN di origine e volume per flag TCP.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-network-event-top-contributors.png)


Le metriche dei contributori si basano su flussi di rete campionati per il traffico legittimo e potenzialmente indesiderato. È più probabile che gli eventi con un volume maggiore e gli eventi in cui le fonti di traffico non sono distribuite in modo elevato abbiano contributori principali identificabili. Un attacco distribuito in modo significativo può avere un numero qualsiasi di fonti, il che rende difficile identificare i principali responsabili dell'attacco. Se Shield non identifica alcun contributore significativo per una metrica o una categoria specifica, visualizza i dati come non disponibili. 

In un attacco di livello DDo S dell'infrastruttura, le sorgenti di traffico potrebbero essere falsificate o riflesse. Una fonte contraffatta viene falsificata intenzionalmente dall'aggressore. Una fonte riflessa è la vera fonte del traffico rilevato, ma non partecipa volontariamente all'attacco. Ad esempio, un utente malintenzionato potrebbe generare un flusso di traffico ampio e amplificato verso un bersaglio, riflettendo l'attacco su servizi su Internet che di solito sono legittimi. In questo caso, le informazioni sulla fonte potrebbero essere valide mentre non sono la fonte effettiva dell'attacco. Questi fattori possono limitare la fattibilità delle tecniche di mitigazione che bloccano le sorgenti in base alle intestazioni dei pacchetti.

# Visualizzazione degli eventi Shield Advanced su più Account AWS canali con AWS Firewall Manager e AWS Security Hub CSPM
<a name="ddos-viewing-multiple-accounts"></a>

Puoi utilizzare, gestire AWS Firewall Manager e AWS Security Hub CSPM monitorare le risorse AWS Shield Advanced protette su più account. 

Con Firewall Manager, puoi creare una politica di sicurezza Shield Advanced che riporta e applica la conformità alla protezione DDo S su tutti i tuoi account. Firewall Manager monitora le risorse protette, inclusa l'aggiunta di protezioni alle nuove risorse che rientrano nell'ambito della politica Shield Advanced. 

È possibile integrare Firewall Manager con AWS Security Hub CSPM per ottenere un'unica dashboard che riporti gli eventi DDo S rilevati dai risultati di conformità di Shield Advanced e Firewall Manager, quando Firewall Manager identifica una risorsa che non è conforme alla politica di sicurezza Shield Advanced. 

La figura seguente illustra un'architettura tipica per il monitoraggio delle risorse protette Shield Advanced con Firewall Manager e Security Hub CSPM. 

![\[Nella parte superiore della figura c'è un'icona. AWS Organizations Ha una freccia rivolta verso il basso che si divide in due icone affiancate. L'icona a sinistra contiene il titolo Production OU e l'icona a destra ha il titolo. Security OU Sotto queste icone si trovano tre icone, intitolate da sinistra a destra: AWS Shield Advanced AWS Firewall Manager, e AWS Security Hub CSPM. L'icona dell'unità organizzativa di produzione presenta una freccia rivolta verso il basso verso l'icona Shield Advanced. L'icona dell'unità organizzativa di sicurezza presenta una freccia rivolta verso il basso che si divide per puntare alle icone CSPM di Firewall Manager e Security Hub. L'icona Shield Advanced ha una freccia rivolta verso il basso verso un rettangolo con il titolo. Shield Advanced protected resources All'interno del rettangolo sono presenti le icone per Application Load Balancer CloudFront, distribuzione e indirizzo IP elastico. L'icona Firewall Manager presenta anche una freccia rivolta verso il basso verso il Shield Advanced protected resources rettangolo ed è etichettata. Enforces compliance of protected resources L'icona Shield Advanced ha una freccia orizzontale che punta all'icona Firewall Manager DDoS alarm etichettata. L'icona Firewall Manager ha una freccia orizzontale rivolta verso destra, verso l'icona Security Hub CSPM etichettata. DDoS alarm and compliance findings\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-arch-fms-ash-integration.png)


Quando integri Firewall Manager con Security Hub CSPM, puoi visualizzare i risultati di sicurezza in un unico posto, insieme ad altri avvisi e informazioni sullo stato di conformità per le applicazioni su cui esegui. AWS

La schermata seguente evidenzia le informazioni che è possibile visualizzare per un evento Shield Advanced all'interno della console CSPM di Security Hub quando si dispone di un'integrazione di questo tipo. 

![\[La schermata mostra la pagina dei risultati della console Security Hub CSPM, sottotitolata Una scoperta è un problema di sicurezza o un controllo di sicurezza fallito. . La sezione presenta contorni rossi che evidenziano le stringhe: Titolo EQUALS Shield Advanced, attacco rilevato contro la risorsa monitorata e nome prodotto EQUAL Firewall Manager. La schermata mostra una serie di dettagli sull'attacco specifico e sul suo stato.\]](http://docs.aws.amazon.com/it_it/waf/latest/developerguide/images/shield-console-security-hub-event.png)


Per scoprire come integrare Firewall Manager e Security Hub CSPM con Shield Advanced per centralizzare il monitoraggio degli eventi e della conformità tra gli account protetti, consulta il blog AWS sulla sicurezza [Configurare il monitoraggio centralizzato degli eventi DDo S e correggere automaticamente le risorse](https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/) non conformi. 

# Risposta agli eventi DDo S in AWS
<a name="ddos-responding"></a>

Questa pagina spiega come AWS risponde agli attacchi DDo S e fornisce opzioni su come rispondere ulteriormente.

AWS mitiga automaticamente gli attacchi S a livello di rete e trasporto (livello 3 e livello 4)DDo. Se utilizzi Shield Advanced per proteggere le tue EC2 istanze Amazon, durante un attacco Shield Advanced distribuisce automaticamente la tua rete Amazon VPC ACLs ai confini della rete. AWS Ciò consente a Shield Advanced di fornire protezione contro eventi DDo S più grandi. Per ulteriori informazioni sulla rete ACLs, vedere [Rete ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html).

Per gli attacchi a livello applicativo (livello 7) DDo S, i AWS tentativi di rilevare e avvisare AWS Shield Advanced i clienti tramite CloudWatch allarmi. Per impostazione predefinita, non applica automaticamente le mitigazioni, per evitare di bloccare inavvertitamente il traffico utente valido. 

Per le risorse a livello applicativo (livello 7), sono disponibili le seguenti opzioni per rispondere a un attacco. 
+ **Fornisci le tue mitigazioni**: puoi indagare e mitigare l'attacco da solo. Per informazioni, consulta [Mitigazione manuale di un attacco di livello applicativo DDo S](ddos-responding-manual.md). 
+ **Contatta l'assistenza**: se sei un cliente Shield Advanced, puoi contattare il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/) per ricevere assistenza sulle mitigazioni. I casi critici e urgenti vengono indirizzati direttamente agli esperti DDo S. Per informazioni, consulta [Contattare il centro di supporto durante un attacco di livello applicativo DDo S](ddos-responding-contact-support.md). 

Inoltre, prima che si verifichi un attacco, puoi abilitare in modo proattivo le seguenti opzioni di mitigazione: 
+ **Attenuazioni automatiche sulle CloudFront distribuzioni Amazon**: con questa opzione, Shield Advanced definisce e gestisce per te le regole di mitigazione nel tuo ACL web. Per informazioni sulla mitigazione automatica a livello di applicazione, consulta. [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md) 
+ Interazione **proattiva**: quando AWS Shield Advanced rileva un attacco a livello applicativo di grandi dimensioni contro una delle vostre applicazioni, SRT può contattarvi in modo proattivo. L'SRT valuta l'evento S e crea mitigazioni. DDo AWS WAF L'SRT ti contatta e, con il tuo consenso, può applicare le regole. AWS WAF Per ulteriori informazioni su questa opzione, consulta [Impostazione di un coinvolgimento proattivo affinché l'SRT ti contatti direttamente](ddos-srt-proactive-engagement.md).

# Contattare il centro di supporto durante un attacco di livello applicativo DDo S
<a name="ddos-responding-contact-support"></a>

Questa pagina fornisce istruzioni per contattare il centro di supporto durante un attacco di livello applicativo DDo S.

Se sei un AWS Shield Advanced cliente, puoi contattare il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/) per ricevere assistenza sulle mitigazioni. I casi critici e urgenti vengono indirizzati direttamente agli esperti del sistema operativo DDo. Inoltre AWS Shield Advanced, i casi complessi possono essere inoltrati allo AWS Shield Response Team (SRT), che ha una vasta esperienza nella protezione AWS, ad Amazon.com e alle sue filiali. Per ulteriori informazioni sull'SRT, consulta. [Risposta DDo agli eventi S gestita con supporto Shield Response Team (SRT)](ddos-srt-support.md)

Per ricevere assistenza dallo Shield Response Team (SRT), contatta il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/). Il tempo di risposta per il tuo caso dipende dalla gravità selezionata e dai tempi di risposta, documentati nella pagina [Supporto AWS Piani](https://aws.amazon.com/premiumsupport/compare-plans/).

Selezionare le seguenti opzioni:
+ Tipo di caso: Supporto tecnico
+ Servizio: Distributed Denial of Service (S) DDo
+ Categoria: In entrata verso AWS
+ Gravità: *Scegliere un'opzione appropriata*

Quando parli con il nostro rappresentante, spiega che sei un AWS Shield Advanced cliente che sta subendo un possibile attacco DDo S. Il nostro rappresentante indirizzerà la tua chiamata agli esperti DDo S appropriati. Se apri un caso con il [Supporto AWS Centro](https://console.aws.amazon.com/support/home#/) utilizzando il tipo di servizio **Distributed Denial of Service (DDoS)**, puoi parlare direttamente con un esperto DDo S tramite chat o telefono. DDoI tecnici dell'assistenza S possono aiutarti a identificare gli attacchi, consigliare miglioramenti alla tua AWS architettura e fornire indicazioni sull'uso dei AWS servizi per la mitigazione DDo degli attacchi S.

Per gli attacchi a livello applicativo, l'SRT può aiutarvi ad analizzare le attività sospette. Se hai abilitato la mitigazione automatica per la tua risorsa, l'SRT può esaminare le mitigazioni che Shield Advanced sta implementando automaticamente contro l'attacco. In ogni caso, l'SRT può aiutarvi a esaminare e mitigare il problema. Le mitigazioni consigliate dall'SRT spesso richiedono all'SRT di creare o aggiornare le liste di controllo degli accessi AWS WAF Web (web ACLs) nell'account. L'SRT avrà bisogno del tuo permesso per eseguire questo lavoro. 

**Importante**  
Come parte dell'attivazione AWS Shield Advanced, ti consigliamo di seguire i passaggi indicati per fornire in modo proattivo [Concessione dell'accesso all'SRT](ddos-srt-access.md) all'SRT le autorizzazioni di cui ha bisogno per assisterti durante un attacco. Concedere in anticipo l'autorizzazione consente di evitare ritardi in caso di attacco imminente.

L'SRT ti aiuta a classificare l'attacco DDo S per identificare le firme e i modelli di attacco. Con il tuo consenso, l'SRT crea e implementa AWS WAF regole per mitigare l'attacco.

Puoi anche contattare l'SRT prima o durante un possibile attacco per esaminare le mitigazioni e sviluppare e implementare mitigazioni personalizzate. Ad esempio, se state eseguendo un'applicazione Web e avete bisogno di aprire solo le porte 80 e 443, potete lavorare con SRT per preconfigurare un ACL web in modo che «consenta» solo le porte 80 e 443.

Autorizzi e contatti l'SRT a livello di account. Cioè, se si utilizza Shield Advanced all'interno di una politica Firewall Manager Shield Advanced, il proprietario dell'account, non l'amministratore di Firewall Manager, deve contattare SRT per ricevere assistenza. L'amministratore di Firewall Manager può contattare SRT solo per gli account di sua proprietà.

# Mitigazione manuale di un attacco di livello applicativo DDo S
<a name="ddos-responding-manual"></a>

Questa pagina fornisce istruzioni per mitigare manualmente un attacco di livello applicativo DDo S.

Se stabilisci che l'attività nella pagina degli eventi relativa alla tua risorsa rappresenta un attacco DDo S, puoi creare AWS WAF regole personalizzate nell'ACL web per mitigare l'attacco. Questa è l'unica opzione disponibile se non sei un cliente Shield Advanced. AWS WAF è inclusa senza AWS Shield Advanced costi aggiuntivi. Per informazioni sulla creazione di regole nell'ACL Web, consulta[Configurazione della protezione in AWS WAF](web-acl.md).

Se lo utilizzi AWS Firewall Manager, puoi aggiungere AWS WAF le tue regole a una AWS WAF politica di Firewall Manager.

**Per mitigare manualmente un potenziale attacco di livello applicativo DDo S**

1. Crea istruzioni di regole nell'ACL web con criteri che corrispondono al comportamento insolito. Per cominciare, configurali per contare le richieste corrispondenti. Per informazioni sulla configurazione dell'ACL Web e delle istruzioni delle regole, consulta [Utilizzo di pacchetti di protezione (Web ACLs) con regole e gruppi di regole in AWS WAF](web-acl-processing.md) e. [Test e ottimizzazione delle protezioni AWS WAF](web-acl-testing.md)
**Nota**  
Verifica sempre prima le tue regole utilizzando inizialmente l'azione della regola Count anziché. Block Dopo aver verificato che le nuove regole identificano le richieste corrette, puoi modificarle per bloccarle. 

1. Monitora il conteggio delle richieste per determinare se desideri bloccare le richieste corrispondenti. Se il volume delle richieste continua a essere insolitamente elevato e sei sicuro che le tue regole stiano catturando le richieste che stanno causando l'elevato volume, modifica le regole dell'ACL web per bloccare le richieste. 

1. Continua a monitorare la pagina degli eventi per assicurarti che il traffico venga gestito come desideri. 

AWS fornisce modelli preconfigurati per iniziare rapidamente. I modelli includono una serie di AWS WAF regole che puoi personalizzare e utilizzare per bloccare gli attacchi più comuni basati sul Web. Per ulteriori informazioni, consulta l'articolo relativo alle [automazioni di sicurezza AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# Richiedere un credito AWS Shield Advanced dopo un attacco
<a name="ddos-request-service-credit"></a>

Se sei abbonato AWS Shield Advanced e subisci un attacco DDo S che aumenta l'utilizzo di una risorsa protetta Shield Advanced, puoi richiedere un credito di servizio Shield Advanced per gli addebiti relativi al maggiore utilizzo, nella misura in cui questo non sia mitigato da Shield Advanced. 

**Nota**  
Puoi utilizzare i crediti ricevuti tramite questa procedura solo per l'utilizzo di Shield Advanced. I crediti Shield Advanced non possono essere utilizzati con altri servizi.

I crediti sono disponibili solo per i seguenti tipi di addebiti: 
+ Uscita dati Shield Advanced 
+ Richieste Amazon CloudFront HTTP/HTTPS 
+ CloudFront trasferimento dati in uscita 
+ Interrogazioni su Amazon Route 53 
+ AWS Global Accelerator trasferimento dati con acceleratore standard 
+ Unità di capacità di bilanciamento del carico per Application Load Balancer 
+ Costi delle istanze per le istanze protette di Amazon Elastic Compute Cloud (Amazon EC2) create da una politica di auto-scaling in risposta all'attacco

**Prerequisiti per richiedere un credito**  
Per avere diritto a ricevere un credito, prima dell'inizio dell'attacco, devi aver fatto quanto segue: 
+ È necessario aver aggiunto la protezione Shield Advanced alle risorse per le quali si desidera richiedere un credito. Le risorse protette aggiunte durante un attacco non sono idonee alla protezione dei costi. 
**Nota**  
L'attivazione di Shield Advanced sul tuo Account AWS non abilita automaticamente la protezione Shield Advanced per le singole risorse. 

  Per ulteriori informazioni su come proteggere AWS le risorse utilizzando Shield Advanced, vedere[Aggiungere AWS Shield Advanced protezione alle AWS risorse](configure-new-protection.md).
+ Per le risorse applicabili CloudFront e protette da Application Load Balancer, è necessario aver associato un ACL AWS WAF Web e implementato una regola basata sulla velocità nell'ACL Web in modalità. Block Per informazioni sulle regole basate sulla AWS WAF velocità, vedere. [Utilizzo di istruzioni di regole basate sulla tariffa in AWS WAF](waf-rule-statement-type-rate-based.md) Per informazioni su come associare il Web ACLs alle AWS risorse, vedere. [Configurazione della protezione in AWS WAF](web-acl.md) 
+ È necessario aver implementato le migliori pratiche appropriate in [AWS Best Practices for DDo S Resiliency](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency) per configurare l'applicazione in modo da ridurre al minimo i costi durante un attacco DDo S. 

**Come richiedere un credito**  
Per avere diritto a un credito, è necessario inviare la richiesta di credito entro il periodo di 15 giorni immediatamente successivo al mese di fatturazione in cui si è verificato l'attacco.

[Per richiedere un credito, invia una richiesta di fatturazione tramite il Supporto AWS Centro.](https://console.aws.amazon.com/support/home#/) Includi quanto segue nella tua richiesta: 
+ Le parole "DDoS Concession» nella riga dell'oggetto
+ Le date e gli orari di ogni evento o interruzione della disponibilità per cui richiedi un credito
+ I AWS servizi e le risorse specifiche interessati 

Dopo aver inviato una richiesta, lo AWS Shield Response Team (SRT) verificherà se si è verificato un attacco DDo S e, in caso affermativo, se le risorse protette sono state ridimensionate per assorbire l' DDoattacco S. Se AWS determina che le risorse protette sono state ridimensionate per assorbire l'attacco DDo S, AWS emetterà un credito per quella parte di traffico che AWS determina sia stata causata dall'attacco S. DDo I crediti sono validi per 12 mesi.

# Sicurezza nell'utilizzo del AWS Shield servizio
<a name="shd-security"></a>

Questa sezione spiega come si applica il modello di responsabilità condivisa a AWS Shield.

La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di un data center e di un'architettura di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.

**Nota**  
Questa sezione fornisce linee guida AWS di sicurezza standard per l'utilizzo del AWS Shield servizio e delle sue AWS risorse, come le protezioni Shield Advanced.   
Per informazioni sulla protezione AWS delle risorse utilizzando Shield e Shield Advanced, consulta il resto della AWS Shield guida. 

La sicurezza è una responsabilità condivisa tra te AWS e te. Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. L'efficacia della nostra sicurezza è regolarmente testata e verificata da revisori di terze parti come parte dei [programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/). Per ulteriori informazioni sui programmi di conformità che si applicano a Shield, consulta [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L'utente è anche responsabile per altri fattori, tra cui la riservatezza dei dati, i requisiti dell'azienda e leggi e normative applicabili. 

Questa documentazione aiuta a capire come applicare il modello di responsabilità condivisa quando si utilizza Shield. I seguenti argomenti mostrano come configurare Shield per soddisfare gli obiettivi di sicurezza e conformità. Scopri anche come utilizzare altri AWS servizi che ti aiutano a monitorare e proteggere le tue risorse Shield. 

**Topics**
+ [Protezione dei dati in Shield](shd-data-protection.md)
+ [Usare IAM con AWS Shield](shd-security-iam.md)
+ [Registrazione e monitoraggio in Shield](shd-incident-response.md)
+ [Convalida della conformità in Shield](shd-security-compliance.md)
+ [Costruire per la resilienza in Shield](shd-disaster-recovery-resiliency.md)
+ [Sicurezza dell'infrastruttura in AWS Shield](shd-infrastructure-security.md)

# Protezione dei dati in Shield
<a name="shd-data-protection"></a>

Questa sezione spiega come si applica il modello di responsabilità AWS condivisa alla protezione dei dati in Shield.

Il modello di [responsabilità AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS Shield. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+  SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con Shield o altro Servizi AWS utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Le entità Shield, come le protezioni, sono crittografate a riposo, tranne in alcune regioni in cui la crittografia non è disponibile, tra cui Cina (Pechino) e Cina (Ningxia). Per ogni regione vengono utilizzate chiavi di crittografia univoche. 

# Usare IAM con AWS Shield
<a name="shd-security-iam"></a>

Questa sezione spiega come utilizzare IAM con AWS Shield.



AWS Identity and Access Management (IAM) è un software Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle AWS risorse. Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (dispone delle autorizzazioni) a utilizzare le risorse Shield. IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.

**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS Shield](shd-security-iam-awsmanpol.md)
+ [Risoluzione dei problemi di AWS Shield identità e accesso](shd-security_iam_troubleshoot.md)
+ [Utilizzo di ruoli collegati ai servizi per Shield Advanced](shd-using-service-linked-roles.md)

## Destinatari
<a name="security_iam_audience"></a>

Il modo in cui usi AWS Identity and Access Management (IAM) varia a seconda del lavoro svolto in Shield.

**Utente del servizio**: se utilizzi il servizio Shield per svolgere il tuo lavoro, l'amministratore ti fornisce le credenziali e le autorizzazioni necessarie. Man mano che utilizzi più funzionalità Shield per svolgere il tuo lavoro, potresti aver bisogno di autorizzazioni aggiuntive. La comprensione della gestione dell’accesso consente di richiedere le autorizzazioni corrette all’amministratore. Se non riesci ad accedere a una funzionalità di Shield, consulta[Risoluzione dei problemi di AWS Shield identità e accesso](shd-security_iam_troubleshoot.md).

**Amministratore del servizio**: se sei responsabile delle risorse Shield della tua azienda, probabilmente hai pieno accesso a Shield. È tuo compito determinare a quali funzionalità e risorse Shield devono accedere gli utenti del servizio. Devi quindi inviare le richieste all’amministratore IAM per modificare le autorizzazioni degli utenti del servizio. Esamina le informazioni contenute in questa pagina per comprendere i concetti di base relativi a IAM. Per saperne di più su come la tua azienda può utilizzare IAM con Shield, consulta[Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md).

**Amministratore IAM**: se sei un amministratore IAM, potresti voler conoscere i dettagli su come scrivere policy per gestire l'accesso a Shield. Per visualizzare esempi di policy basate sull'identità Shield che puoi utilizzare in IAM, consulta. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Autenticazione con identità
<a name="security_iam_authentication"></a>

L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS

Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.

Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.

### Account AWS utente root
<a name="security_iam_authentication-rootuser"></a>

 Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*. 

### Identità federata
<a name="security_iam_authentication-federated"></a>

Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.

Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.

Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.

### Utenti e gruppi IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.

### Ruoli IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.

I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Gestione dell’accesso tramite policy
<a name="security_iam_access-manage"></a>

Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.

Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.

Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.

### Policy basate sull’identità
<a name="security_iam_access-manage-id-based-policies"></a>

Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.

Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.

### Policy basate sulle risorse
<a name="security_iam_access-manage-resource-based-policies"></a>

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).

Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.

### Liste di controllo degli accessi () ACLs
<a name="security_iam_access-manage-acl"></a>

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

Amazon S3 e Amazon VPC sono esempi di servizi che supportano. AWS WAF ACLs Per ulteriori informazioni ACLs, consulta la [panoramica della lista di controllo degli accessi (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) nella *Amazon Simple Storage Service Developer Guide*.

### Altri tipi di policy
<a name="security_iam_access-manage-other-policies"></a>

AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.

### Più tipi di policy
<a name="security_iam_access-manage-multiple-policies"></a>

Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.

# Come AWS Shield funziona con IAM
<a name="shd-security_iam_service-with-iam"></a>

Questa sezione spiega come utilizzare le funzionalità di IAM con AWS Shield.

Prima di utilizzare IAM per gestire l'accesso a Shield, scopri quali funzionalità IAM sono disponibili per l'uso con Shield.






**Funzionalità IAM che puoi utilizzare con AWS Shield**  

| Funzionalità IAM | Supporto Shield | 
| --- | --- | 
|  [Policy basate sull’identità](#shd-security_iam_service-with-iam-id-based-policies)  |   Sì  | 
|  [Policy basate su risorse](#shd-security_iam_service-with-iam-resource-based-policies)  |   No   | 
|  [Operazioni di policy](#shd-security_iam_service-with-iam-id-based-policies-actions)  |   Sì  | 
|  [Risorse relative alle policy](#shd-security_iam_service-with-iam-id-based-policies-resources)  |   Sì  | 
|  [Chiavi di condizione della policy (specifica del servizio)](#shd-security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sì  | 
|  [ACLs](#shd-security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (tag nelle policy)](#shd-security_iam_service-with-iam-tags)  |   Parziale  | 
|  [Credenziali temporanee](#shd-security_iam_service-with-iam-roles-tempcreds)  |   Sì  | 
|  [Inoltro delle sessioni di accesso (FAS)](#shd-security_iam_service-with-iam-principal-permissions)  |   Sì  | 
|  [Ruoli di servizio](#shd-security_iam_service-with-iam-roles-service)  |   Sì  | 
|  [Ruoli collegati al servizio](#shd-security_iam_service-with-iam-roles-service-linked)  |   Sì  | 

Per avere una visione di alto livello di come Shield e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.

## Politiche basate sull'identità per Shield
<a name="shd-security_iam_service-with-iam-id-based-policies"></a>

Questa sezione fornisce esempi di policy basate sull'identità per. AWS Shield

**Supporta le policy basate sull’identità:** sì

Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.

Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.

Per visualizzare esempi di politiche basate sull'identità di Shield, vedere. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Politiche basate sulle risorse all'interno di Shield
<a name="shd-security_iam_service-with-iam-resource-based-policies"></a>

**Supporta le policy basate su risorse:** no 

Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS

Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.

## Azioni politiche per Shield
<a name="shd-security_iam_service-with-iam-id-based-policies-actions"></a>

**Supporta le operazioni di policy:** si

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.



Per visualizzare un elenco delle azioni Shield, vedere [Azioni definite da AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions) nel *Service Authorization Reference*.

Le azioni politiche in Shield utilizzano il seguente prefisso prima dell'azione:

```
shield
```

Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.

```
"Action": [
      "shield:action1",
      "shield:action2"
         ]
```



È possibile specificare più azioni tramite caratteri jolly (\$1). Ad esempio, per specificare tutte le azioni in Shield che iniziano con`List`, includi la seguente azione:

```
"Action": "shield:List*"
```

Per visualizzare esempi di politiche basate sull'identità di Shield, vedere. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Risorse politiche per Shield
<a name="shd-security_iam_service-with-iam-id-based-policies-resources"></a>

**Supporta le risorse relative alle policy:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.

```
"Resource": "*"
```

Per visualizzare l'elenco dei tipi di risorse Shield e relativi ARNs, vedere [Resources defined by AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-resources-for-iam-policies) nel *Service Authorization Reference*. Per informazioni sulle operazioni con cui è possibile specificare l'ARN di ogni risorsa, consulta la sezione [Operazioni definite da AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions). Per consentire o negare l'accesso a un sottoinsieme di risorse Shield, includi l'ARN della risorsa nell'`resource`elemento della tua politica.

*Nel AWS Shield, le risorse sono *protezioni* e attacchi.* A queste risorse sono associati Amazon Resource Names (ARNs) univoci, come illustrato nella tabella seguente. 


****  

| Nome nella AWS Shield console | Nome in AWS Shield SDK/CLI | Formato ARN  | 
| --- | --- | --- | 
| Evento o attacco | AttackDetail |  `arn:aws:shield::account:attack/ID`  | 
| Protezione | Protection |  `arn:aws:shield::account:protection/ID`  | 

Per consentire o negare l'accesso a un sottoinsieme di risorse Shield, includi l'ARN della risorsa nell'`resource`elemento della tua politica. Le ARNs for Shield hanno il seguente formato:

```
arn:partition:shield::account:resource/ID
```

Sostituisci le *ID* variabili *account**resource*, e con valori validi. I valori validi possono essere i seguenti:
+ *account*: L'ID del tuo Account AWS. È necessario specificare un valore.
+ *resource*: il tipo di risorsa Shield, `attack` oppure`protection`. 
+ *ID*: L'ID della risorsa Shield o un carattere jolly (`*`) per indicare tutte le risorse del tipo specificato associate alla risorsa specificata Account AWS.

Ad esempio, il seguente ARN specifica tutte le protezioni per l'account `111122223333`:

```
arn:aws:shield::111122223333:protection/*
```

Le risorse ARNs di Shield hanno il seguente formato:

```
arn:partition:shield:region:account-id:scope/resource-type/resource-name/resource-id
```

Per informazioni generali sulle specifiche ARN, consulta [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) nel. Riferimenti generali di Amazon Web Services

Di seguito sono elencati i requisiti specifici ARNs delle `wafv2` risorse: 
+ *region*: per le risorse Shield che usi per proteggere CloudFront le distribuzioni Amazon, imposta questa opzione su. `us-east-1` Altrimenti, impostalo sulla regione che stai utilizzando con le tue risorse regionali protette. 
+ *scope*: imposta l'ambito `global` per l'utilizzo con una CloudFront distribuzione Amazon o `regional` per l'utilizzo con una qualsiasi delle risorse regionali AWS WAF supportate. Le risorse regionali sono un'API REST di Amazon API Gateway, un'Application Load Balancer, un'API GraphQL AWS AppSync , un pool di utenti Amazon Cognito, un AWS App Runner servizio e un'istanza Verified Access. AWS 
+ *resource-type*: Specificare uno dei seguenti valori: `attack` per eventi o attacchi, `protection` per protezioni. 
+ *resource-name*: specificate il nome assegnato alla risorsa Shield o specificate un carattere jolly (`*`) per indicare tutte le risorse che soddisfano le altre specifiche dell'ARN. È necessario specificare il nome e l'ID della risorsa o specificare un carattere jolly per entrambi. 
+ *resource-id*: specificate l'ID della risorsa Shield o specificate un carattere jolly (`*`) per indicare tutte le risorse che soddisfano le altre specifiche dell'ARN. È necessario specificare il nome e l'ID della risorsa o specificare un carattere jolly per entrambi.

Ad esempio, il seguente ARN specifica tutto il Web ACLs con ambito regionale per l'account `111122223333` in Region: `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

Il seguente ARN specifica il gruppo di regole denominato `MyIPManagementRuleGroup` con ambito globale per l'account `111122223333` in Region: `us-east-1`

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Per visualizzare esempi di politiche basate sull'identità di Shield, vedere. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)

## Chiavi relative alle condizioni delle policy per Shield
<a name="shd-security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Supporta le chiavi di condizione delle policy specifiche del servizio:** sì

Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.

L’elemento `Condition` specifica quando le istruzioni vengono eseguite in base a criteri definiti. È possibile compilare espressioni condizionali che utilizzano [operatori di condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), ad esempio uguale a o minore di, per soddisfare la condizione nella policy con i valori nella richiesta. Per visualizzare tutte le chiavi di condizione AWS globali, consulta le chiavi di [contesto delle condizioni AWS globali nella Guida](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) per l'*utente IAM*.

Per visualizzare un elenco delle chiavi di condizione Shield, vedere [Condition keys for AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-policy-keys) nel *Service Authorization Reference*. Per sapere con quali azioni e risorse puoi utilizzare una chiave di condizione, vedi [Azioni definite da AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions).

Per visualizzare esempi di politiche basate sull'identità di Shield, vedere. [Esempi di policy basate sull'identità per AWS Shield](shd-security_iam_id-based-policy-examples.md)

## ACLs in Shield
<a name="shd-security_iam_service-with-iam-acls"></a>

**Supporti ACLs:** no 

Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.

## ABAC con Shield
<a name="shd-security_iam_service-with-iam-tags"></a>

**Supporta ABAC (tag nelle policy):** parzialmente

Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire operazioni quando il tag del principale corrisponde al tag sulla risorsa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.

Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.

## Utilizzo di credenziali temporanee con Shield
<a name="shd-security_iam_service-with-iam-roles-tempcreds"></a>

**Supporta le credenziali temporanee:** sì

Le credenziali temporanee forniscono un accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.

## Sessioni di accesso diretto per Shield
<a name="shd-security_iam_service-with-iam-principal-permissions"></a>

**Supporta l’inoltro delle sessioni di accesso (FAS):** sì

 Le sessioni di accesso diretto (FAS) utilizzano le autorizzazioni del principale chiamante e Servizio AWS, in combinazione con la richiesta, di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Ruoli di servizio per Shield
<a name="shd-security_iam_service-with-iam-roles-service"></a>

**Supporta i ruoli di servizio:** sì

 Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*. 

**avvertimento**  
La modifica delle autorizzazioni per un ruolo di servizio potrebbe interrompere la funzionalità Shield. Modifica i ruoli di servizio solo quando Shield fornisce indicazioni in tal senso.

## Ruoli collegati ai servizi per Shield
<a name="shd-security_iam_service-with-iam-roles-service-linked"></a>

**Supporta i ruoli collegati ai servizi:** sì

 Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle. 

Per informazioni dettagliate sulla creazione o la gestione dei ruoli collegati ai servizi Shield, vedere. [Utilizzo di ruoli collegati ai servizi per Shield Advanced](shd-using-service-linked-roles.md)

# Esempi di policy basate sull'identità per AWS Shield
<a name="shd-security_iam_id-based-policy-examples"></a>

Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare le risorse Shield. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.

Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.

Per i dettagli sulle azioni e sui tipi di risorse definiti da Shield, incluso il formato di ARNs per ogni tipo di risorsa, vedere [Azioni, risorse e chiavi di condizione AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html) nel *Service Authorization Reference*.

**Topics**
+ [Best practice per le policy](#shd-security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console Shield](#shd-security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#shd-security_iam_id-based-policy-examples-view-own-permissions)
+ [Concedi l'accesso in lettura alle tue protezioni Shield Advanced](#shd-example0)
+ [Concedi l'accesso in sola lettura a Shield e CloudFront CloudWatch](#shd-example1)
+ [Concedi l'accesso completo a Shield CloudFront, e CloudWatch](#shd-example2)

## Best practice per le policy
<a name="shd-security_iam_service-with-iam-policy-best-practices"></a>

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse Shield nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.

Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.

## Utilizzo della console Shield
<a name="shd-security_iam_id-based-policy-examples-console"></a>

Per accedere alla AWS Shield console, è necessario disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle risorse Shield presenti nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.

Non è necessario consentire autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.

Gli utenti che possono accedere e utilizzare la AWS console possono accedere anche alla AWS Shield console. Non sono necessarie autorizzazioni supplementari.

### Solo per console APIs
<a name="shd-serucity_iam_id-based-policy-examples-console-ddos"></a>

È possibile accedere alle seguenti informazioni sugli attacchi Distributed Denial of Service (DDoS) nella console. Specificate le seguenti autorizzazioni API in una policy IAM per consentire o negare azioni specifiche.


| Azione | Description | 
| --- | --- | 
| DescribeAttackContributors |  Concede l'autorizzazione a ottenere informazioni dettagliate sui contributori a uno specifico attacco S. DDo  | 
| ListMitigations |  Concede l'autorizzazione a recuperare un elenco di azioni di mitigazione che sono state applicate durante gli attacchi S. DDo  | 
| GetGlobalThreatData |  Concede l'autorizzazione a recuperare i dati e le tendenze globali di intelligence sulle minacce dai sistemi di monitoraggio delle minacce di AWS Shield.  | 

Questo esempio mostra come è possibile creare una policy che consenta di visualizzare le informazioni sugli attacchi DDo S nella console.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "shield:DescribeAttackContributors"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "shield:ListMitigations"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "shield:GetGlobalThreatData"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Consentire agli utenti di visualizzare le loro autorizzazioni
<a name="shd-security_iam_id-based-policy-examples-view-own-permissions"></a>

Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando programmaticamente l' AWS CLI API o. AWS 

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Concedi l'accesso in lettura alle tue protezioni Shield Advanced
<a name="shd-example0"></a>

AWS Shield consente l'accesso alle risorse tra account, ma non consente di creare protezioni delle risorse tra account. È possibile creare protezioni per le risorse solo dall'interno dell'account proprietario di tali risorse. 

Di seguito viene riportata una policy di esempio che concede le autorizzazioni per l'operazione `shield:ListProtections` su tutte le risorse. Shield non supporta l'identificazione di risorse specifiche utilizzando la risorsa ARNs (denominate anche autorizzazioni a livello di risorsa) per alcune azioni dell'API, quindi è necessario specificare un carattere jolly (\$1). Ciò consente solo l'accesso alle risorse che è possibile recuperare tramite l'azione. `ListProtections`

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ListProtections",
            "Effect": "Allow",
            "Action": [
                "shield:ListProtections"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Concedi l'accesso in sola lettura a Shield e CloudFront CloudWatch
<a name="shd-example1"></a>

La seguente politica garantisce agli utenti l'accesso in sola lettura a Shield e alle risorse associate, incluse le CloudFront risorse Amazon e i parametri Amazon. CloudWatch È utile per gli utenti che necessitano dell'autorizzazione per visualizzare le impostazioni nelle protezioni e negli attacchi Shield e per monitorare le metriche in. CloudWatch Questi utenti non possono creare, aggiornare o eliminare le risorse Shield.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Sid": "ProtectedResourcesReadAccess",
                "Effect": "Allow",
                "Action": [
                    "cloudfront:List*",
                    "route53:List*",
                    "cloudfront:Describe*",
                    "elasticloadbalancing:Describe*",
                    "cloudwatch:Describe*",
                    "cloudwatch:Get*",
                    "cloudwatch:List*",
                    "cloudfront:GetDistribution*",
                    "globalaccelerator:ListAccelerators",
                    "globalaccelerator:DescribeAccelerator"
                ],
                "Resource": [
                    "arn:aws:elasticloadbalancing:*:*:*",
                    "arn:aws:cloudfront::*:*",
                    "arn:aws:route53:::hostedzone/*",
                    "arn:aws:cloudwatch:*:*:*:*",
                    "arn:aws:globalaccelerator::*:*"
                ]
            },
            {
                "Sid": "ShieldReadOnly",
                "Effect": "Allow",
                "Action": [
                    "shield:List*",
                    "shield:Describe*",
                    "shield:Get*"
                ],
                "Resource": "*"
            }
     ]
}
```

------

## Concedi l'accesso completo a Shield CloudFront, e CloudWatch
<a name="shd-example2"></a>

La seguente politica consente agli utenti di eseguire qualsiasi operazione Shield, eseguire qualsiasi operazione sulle distribuzioni CloudFront Web e monitorare le metriche e un campione di richieste in. CloudWatch È utile per gli utenti che sono amministratori di Shield.

------
#### [ JSON ]

****  

```
{
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Sid": "ProtectedResourcesReadAccess",
                "Effect": "Allow",
                "Action": [
                    "cloudfront:List*",
                    "route53:List*",
                    "cloudfront:Describe*",
                    "elasticloadbalancing:Describe*",
                    "cloudwatch:Describe*",
                    "cloudwatch:Get*",
                    "cloudwatch:List*",
                    "cloudfront:GetDistribution*",
                    "globalaccelerator:ListAccelerators",
                    "globalaccelerator:DescribeAccelerator"
                ],
                "Resource": [
                    "arn:aws:elasticloadbalancing:*:*:*",
                    "arn:aws:cloudfront::*:*",
                    "arn:aws:route53:::hostedzone/*",
                    "arn:aws:cloudwatch:*:*:*:*",
                    "arn:aws:globalaccelerator::*:*"
                ]
            },
            {
                "Sid": "ShieldFullAccess",
                "Effect": "Allow",
                "Action": [
                    "shield:*"
                ],
                "Resource": "*"
            }
      ]
}
```

------

Consigliamo vivamente di configurare l'autenticazione a più fattori (MFA) per gli utenti che dispongono di autorizzazioni amministrative. *Per ulteriori informazioni, consulta [Using Multi-Factor Authentication (MFA) Devices AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) with nella IAM User Guide.* 







# AWS politiche gestite per AWS Shield
<a name="shd-security-iam-awsmanpol"></a>

Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.

Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.

Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.

Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.

## AWS politica gestita: AWSShield DRTAccess politica
<a name="shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy"></a>

Questa sezione spiega come utilizzare le politiche AWS gestite per Shield.

AWS Shield utilizza questa politica gestita quando concedi l'autorizzazione allo Shield Response Team (SRT) di agire per tuo conto. Questa politica offre all'SRT un accesso limitato al tuo AWS account, per contribuire alla mitigazione DDo degli attacchi S durante eventi ad alta gravità. Questa politica consente a SRT di gestire AWS WAF le regole e le protezioni Shield Advanced e di accedere AWS WAF ai registri. 

Per informazioni sulla concessione dell'autorizzazione all'SRT di operare per vostro conto, consultate. [Concessione dell'accesso all'SRT](ddos-srt-access.md)

Per i dettagli su questa policy, consulta [AWSShieldDRTAccessPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSShieldDRTAccessPolicy) nella console IAM.

## AWS politica gestita: AWSShield ServiceRolePolicy
<a name="shd-security-iam-awsmanpol-AWSShieldServiceRolePolicy"></a>

Shield Advanced utilizza questa politica gestita quando abiliti la mitigazione automatica del livello DDo S dell'applicazione, per impostare le autorizzazioni necessarie per gestire le risorse del tuo account. Questa politica consente a Shield Advanced di creare e applicare AWS WAF regole e gruppi di regole sul Web ACLs che hai associato alle tue risorse protette, per rispondere automaticamente agli attacchi DDo S. 

Non puoi collegarti AWSShield ServiceRolePolicy alle tue entità IAM. Shield associa questa politica al ruolo collegato al servizio per `AWSServiceRoleForAWSShield` consentire a Shield di eseguire azioni per conto dell'utente. 

Shield Advanced consente l'uso di questa politica quando si abilita la mitigazione automatica del livello di applicazione DDo S. Per ulteriori informazioni sull'uso di questa politica, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md). 

Per informazioni sul ruolo collegato al servizio AWSService RoleFor AWSShield che utilizza questa politica, consulta [Utilizzo di ruoli collegati ai servizi per Shield Advanced](shd-using-service-linked-roles.md)

Per i dettagli su questa politica, consulta [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy)nella console IAM.

## Aggiornamenti Shield alle politiche AWS gestite
<a name="shd-security-iam-awsmanpol-updates"></a>



Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite per Shield da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei documenti Shield all'indirizzo. [Cronologia dei documenti](doc-history.md)




| Policy | Descrizione della modifica | Data | 
| --- | --- | --- | 
|  `AWSShieldServiceRolePolicy` Questa politica consente a Shield di accedere e gestire AWS le risorse per rispondere automaticamente agli attacchi di livello DDo S dell'applicazione per conto dell'utente.  Dettagli nella console IAM: [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy) Il ruolo collegato al servizio `AWSServiceRoleForAWSShield` utilizza questa politica. Per informazioni, consulta [Utilizzo di ruoli collegati ai servizi per Shield Advanced](shd-using-service-linked-roles.md).  |  È stata aggiunta questa politica per fornire a Shield Advanced le autorizzazioni necessarie per la funzionalità di mitigazione automatica del livello di applicazione DDo S. Per informazioni su questa funzionalità, consulta. [Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md)  | 1° dicembre 2021 | 
|  Shield ha iniziato a tracciare le modifiche  |  Shield ha iniziato a tracciare le modifiche per le sue politiche AWS gestite.  | 3 marzo 2021 | 

# Risoluzione dei problemi di AWS Shield identità e accesso
<a name="shd-security_iam_troubleshoot"></a>

Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti riscontrare quando lavori con Shield e IAM.

**Topics**
+ [Non sono autorizzato a eseguire un'azione in Shield](#shd-security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#shd-security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Shield](#shd-security_iam_troubleshoot-cross-account-access)

## Non sono autorizzato a eseguire un'azione in Shield
<a name="shd-security_iam_troubleshoot-no-permissions"></a>

Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.

L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `shield:GetWidget` fittizie.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: shield:GetWidget on resource: my-example-widget
```

In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `shield:GetWidget`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Non sono autorizzato a eseguire iam: PassRole
<a name="shd-security_iam_troubleshoot-passrole"></a>

Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue politiche devono essere aggiornate per consentirti di trasferire un ruolo a Shield.

Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.

Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in Shield. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.

Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.

## Voglio consentire a persone esterne a me di accedere Account AWS alle mie risorse Shield
<a name="shd-security_iam_troubleshoot-cross-account-access"></a>

È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.

Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se Shield supporta queste funzionalità, consulta[Come AWS Shield funziona con IAM](shd-security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l’accesso tramite la federazione delle identità, consulta [Fornire l’accesso a utenti autenticati esternamente (Federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l’utente IAM*.
+ Per informazioni sulle differenze tra l'utilizzo di ruoli e policy basate su risorse per l'accesso multi-account, consultare [Differenza tra i ruoli IAM e le policy basate su risorse](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) nella *Guida per l'utente di IAM*.

# Utilizzo di ruoli collegati ai servizi per Shield Advanced
<a name="shd-using-service-linked-roles"></a>

Questa sezione spiega come utilizzare i ruoli collegati ai servizi per consentire a Shield Advanced l'accesso alle risorse del tuo AWS account.

AWS Shield Advanced utilizza ruoli collegati ai [servizi AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a Shield Advanced. I ruoli collegati ai servizi sono predefiniti da Shield Advanced e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto. 

Un ruolo collegato al servizio semplifica la configurazione di Shield Advanced perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Shield Advanced definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Shield Advanced può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun’altra entità IAM.

È possibile eliminare un ruolo collegato al servizio solo dopo avere eliminato le risorse correlate. In questo modo proteggi le tue risorse Shield Advanced perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione [Servizi AWS che funzionano con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e cerca i servizi che riportano **Sì** nella colonna **Ruolo associato ai servizi**. Scegli **Sì** in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

## Autorizzazioni di ruolo collegate ai servizi per Shield Advanced
<a name="shd-slr-permissions"></a>

Shield Advanced utilizza il ruolo collegato al servizio denominato. **AWSServiceRoleForAWSShield** Questo ruolo consente a Shield Advanced di accedere e gestire AWS le risorse per rispondere automaticamente agli attacchi di livello DDo S delle applicazioni per tuo conto. Per ulteriori informazioni su questa funzionalità, vedere[Automatizzazione della mitigazione del livello DDo S delle applicazioni con Shield Advanced](ddos-automatic-app-layer-response.md). 

Il ruolo AWSService RoleFor AWSShield collegato al servizio prevede che i seguenti servizi assumano il ruolo:
+ `shield.amazonaws.com`

La politica di autorizzazione dei ruoli denominata AWSShield ServiceRolePolicy consente a Shield Advanced di completare le seguenti azioni su tutte le AWS risorse:
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`

Quando le azioni sono consentite su tutte AWS le risorse, ciò è indicato nella politica come`"Resource": "*"`. Ciò significa solo che il ruolo collegato al servizio può eseguire ogni azione indicata su tutte le AWS risorse *supportate dall'azione*. Ad esempio, l'azione `wafv2:GetWebACL` è supportata solo per le risorse `wafv2` Web ACL. 

Shield Advanced effettua chiamate API a livello di risorsa solo per le risorse protette per le quali hai abilitato la funzionalità di protezione a livello di applicazione e per il Web associate a ACLs tali risorse protette. 

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Autorizzazioni del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *Guida per l'utente di IAM*.

## Creazione di un ruolo collegato ai servizi per Shield Advanced
<a name="shd-create-slr"></a>

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando abiliti la mitigazione automatica del livello di applicazione DDo S per una risorsa nella Console di gestione AWS, nella o nell' AWS API AWS CLI, Shield Advanced crea automaticamente il ruolo collegato al servizio. 

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando abiliti la mitigazione automatica del livello di applicazione DDo S per una risorsa, Shield Advanced crea nuovamente il ruolo collegato al servizio per te. 

## Modifica di un ruolo collegato ai servizi per Shield Advanced
<a name="shd-edit-slr"></a>

Shield Advanced non consente di modificare il ruolo AWSService RoleFor AWSShield collegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.

## Eliminazione di un ruolo collegato ai servizi per Shield Advanced
<a name="shd-delete-slr"></a>

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

**Nota**  
Se Shield Advanced utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

**Per eliminare le risorse Shield Advanced utilizzate da AWSService RoleFor AWSShield**

Per tutte le risorse su cui sono configurate le protezioni del livello di applicazione DDo S, disabilita la mitigazione automatica del livello di applicazione DDo S. Per istruzioni relative alla console, consulta [Configura le protezioni del livello DDo S dell'applicazione](manage-protection.md#configure-app-layer-protection). 

**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSService RoleFor AWSShield servizio. Per ulteriori informazioni, consulta [Eliminazione del ruolo collegato al servizio](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l’utente di IAM*.

## Regioni supportate per i ruoli collegati ai servizi Shield Advanced
<a name="shd-slr-regions"></a>

Shield Advanced supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta [Endpoint e quote Shield Advanced](https://docs.aws.amazon.com/general/latest/gr/shield.html).

# Registrazione e monitoraggio in Shield
<a name="shd-incident-response"></a>

Questa sezione spiega come utilizzare AWS gli strumenti per monitorare e rispondere agli eventi in. AWS Shield

Il monitoraggio è una parte importante per mantenere l'affidabilità, la disponibilità e le prestazioni di Shield e delle tue AWS soluzioni. È necessario raccogliere i dati di monitoraggio da tutte le parti della AWS soluzione in modo da poter eseguire più facilmente il debug di un errore multipunto, se si verifica. AWS fornisce diversi strumenti per monitorare le risorse Shield e rispondere a potenziali eventi:

** CloudWatch Allarmi Amazon**  
Utilizzando gli CloudWatch allarmi, controlli una singola metrica per un periodo di tempo specificato. Se la metrica supera una determinata soglia, CloudWatch invia una notifica a un argomento o una policy di Amazon SNS. AWS Auto Scaling Per ulteriori informazioni, consulta [Monitoraggio con Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail Registri**  
CloudTrail fornisce un registro delle azioni intraprese da un utente, un ruolo o un AWS servizio in Shield. Utilizzando le informazioni raccolte da CloudTrail, è possibile determinare la richiesta effettuata a Shield, l'indirizzo IP da cui è stata effettuata la richiesta, chi ha effettuato la richiesta, quando è stata effettuata e dettagli aggiuntivi. Per ulteriori informazioni, consulta [Registrazione delle chiamate API di AWS CloudTrail con](logging-using-cloudtrail.md).

# Convalida della conformità in Shield
<a name="shd-security-compliance"></a>

Questa sezione spiega la tua responsabilità di conformità durante l'utilizzo AWS Shield.

Per sapere se un Servizio AWS programma rientra nell'ambito di specifici programmi di conformità, consulta Servizi AWS la sezione [Ambito per programma di conformitàServizi AWS](https://aws.amazon.com/compliance/services-in-scope/) di conformità e scegli il programma di conformità che ti interessa. Per informazioni generali, consulta Programmi di [AWS conformità Programmi](https://aws.amazon.com/compliance/programs/) di di .

È possibile scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

La vostra responsabilità di conformità durante l'utilizzo Servizi AWS è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. Per ulteriori informazioni sulla responsabilità di conformità durante l'utilizzo Servizi AWS, consulta [AWS la documentazione sulla sicurezza](https://docs.aws.amazon.com/security/).

# Costruire per la resilienza in Shield
<a name="shd-disaster-recovery-resiliency"></a>

Questa sezione spiega in che modo l' AWS architettura supporta la ridondanza dei dati per. AWS Shield

L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, è possibile progettare e gestire applicazioni e database che eseguono il failover automatico tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture tradizionali a data center singolo o multiplo. 

[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)

# Sicurezza dell'infrastruttura in AWS Shield
<a name="shd-infrastructure-security"></a>

Questa sezione spiega come AWS Shield isola il traffico di servizio.

In quanto servizio gestito, AWS Shield è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi AWS di sicurezza e su come AWS protegge l'infrastruttura, consulta [AWS Cloud Security](https://aws.amazon.com/security/). Per progettare il tuo AWS ambiente utilizzando le migliori pratiche per la sicurezza dell'infrastruttura, vedi [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected* Framework.

Utilizzi chiamate API AWS pubblicate per accedere a Shield attraverso la rete. I client devono supportare quanto segue:
+ Transport Layer Security (TLS). È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Suite di cifratura con Perfect Forward Secrecy (PFS), ad esempio Ephemeral Diffie-Hellman (DHE) o Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.

# AWS Shield Advanced quote
<a name="shield-limits"></a>

AWS Shield Advanced ha quote predefinite sul numero di entità per regione. È possibile [richiedere un aumento](https://console.aws.amazon.com/servicequotas/home/services/shield/quotas) di queste quote.


| Risorsa | Quota predefinita | 
| --- | --- | 
|  Numero massimo di risorse protette per ogni tipo di risorsa che AWS Shield Advanced offre protezione, per account.   |  1.000  | 
|  Numero massimo di gruppi di protezione, per account.   |  100  | 
|  Numero massimo di singole risorse protette che è possibile includere in modo specifico in un gruppo di protezione. Nell'API, questo si applica a `Members` quello specificato quando si imposta il gruppo di protezione `Pattern` su`ARBITRARY`. Nella console, ciò si applica alle risorse selezionate per il gruppo di protezione **Scegli tra risorse protette**.  |  1.000  |