DDoS イベントレスポンスの AWS Shield Response Team (SRT) サポートの設定 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DDoS イベントレスポンスの AWS Shield Response Team (SRT) サポートの設定

このページでは、Shield Response Team (SRT) サポートを設定する手順について説明します。

SRT は DDoS イベントへの対応を専門とするセキュリティエンジニアの集団です。必要に応じて、DDoS イベント中に SRT がユーザーに代わってリソースを管理できるようにするアクセス許可を追加できます。さらに、保護対象リソースに関連する Route 53 ヘルスチェックが検出されたイベント中に異常が発生した場合に、事前に対処するように SRT を設定できます。この両方の保護機能を追加することで、DDoS イベントへの迅速な対応が可能になります。

注記

Shield Response Team (SRT) のサービスを使用するには、ビジネスサポートプランまたはエンタープライズサポートプランをサブスクライブする必要があります。

SRT は、アプリケーションレイヤーのイベント中に AWS WAF リクエストデータとログをモニタリングして、異常なトラフィックを特定できます。これらは、問題のあるトラフィックソースを緩和するためのカスタム AWS WAF ルールの作成をサポートします。必要に応じて、SRT は、リソースを AWS 推奨事項に合わせて調整できるように、アーキテクチャに関する推奨事項を作成することがあります。

SRT 関数の詳細については、「Shield Response Team (SRT) サポートによるマネージド DDoS イベントレスポンス」を参照してください。

SRT にアクセス許可を付与するには

  1. AWS Shield コンソールの [Overview] (概要) ページの [Configure AWS SRT support] (SRT サポートを設定) で、[Edit SRT access] (SRT アクセスを編集) を選択します。[Edit AWS Shield Response Team (SRT) access] ( Shield Response Team (SRT) のアクセスを編集) ページが開きます。

  2. SRT アクセス設定には、次のいずれかのオプションを選択します。

    • アカウントへのアクセス権を SRT に付与しない – Shield は、アカウントとリソースにアクセスするために以前に SRT に付与したすべての許可を削除します。

    • [Create a new role for the SRT to access my account] (SRT が自分のアカウントにアクセスするための新しいロールを作成する) — Shield は、SRT を表すサービスプリンシパル drt.shield.amazonaws.com を信頼するロールを作成し、マネージドポリシー AWSShieldDRTAccessPolicy をそれにアタッチします。マネージドポリシーにより、SRT はユーザーに代わって AWS Shield Advanced および AWS WAF API コールを実行し、AWS WAF ログにアクセスできます。管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。

    • SRT がアカウントにアクセスできるように既存のロールを選択する – このオプションでは、AWS Identity and Access Management (IAM) のロールの設定を次のように変更する必要があります。

      • マネージドポリシー AWSShieldDRTAccessPolicy をロールにアタッチします。このマネージドポリシーにより、SRT はユーザーに代わって AWS Shield Advanced および AWS WAF API コールを実行し、AWS WAF ログにアクセスできます。管理ポリシーの詳細については、「AWS 管理ポリシー: AWSShieldDRTAccessPolicy」を参照してください。マネージドポリシーをロールにアタッチする方法については、「Attaching and Detaching IAM Policies」(IAM ポリシーのアタッチとデタッチ) を参照してください。

      • サービスプリンシパル drt.shield.amazonaws.com を信頼するようにロールを変更します。これは、SRT を表すサービスプリンシパルです。詳細については、「IAM JSON ポリシーエレメント: プリンシパル」を参照してください。

  3. [保存] を選択して変更を保存します。

SRT に保護とデータへのアクセスを許可する方法の詳細については、「SRT へのアクセスの許可」を参照してください。

SRT のプロアクティブな関与を有効にするには

  1. AWS Shield コンソールの [Overview] (概要) ページの [Proactive engagement and contacts] (プロアクティブな関与と連絡先) の連絡先を入力する場所で、[Edit] (編集) を選択します。

    [Edit contacts] (連絡先を編集) ページで、SRT がプロアクティブな関与のために連絡する担当者の連絡先情報を入力します。

    複数の連絡先を提供する場合は、[Notes] (備考) に、各連絡先を使用する必要がある状況を記載してください。プライマリおよびセカンダリの連絡先指定を含めて、各連絡先の空き時間およびタイムゾーンを指定します。

    問い合わせメモの例:

    • これは、24 時間年中無休でスタッフが対応するホットラインです。応答するアナリストにご協力ください。この担当者は、適切な担当者を呼び出します。

    • 5 分以内にホットラインが応答しない場合は、私までお問い合わせください。

  2. [Save] (保存) を選択します。

    [Overview] (概要) ページには、更新された連絡先情報が反映されます。

  3. [Edit proactive engagement feature] (プロアクティブな関与機能を編集) を選択し、[Enable] (有効化) を選択してから、[Save] (保存) を選択してプロアクティブな関与を有効にします。

プロアクティブな関与の詳細については、「SRT が直接連絡するためのプロアクティブエンゲージメントの設定」を参照してください。