自動アプリケーションレイヤーDDoS緩和の有効化

ウェブをリソースACLに関連付ける – これは、Shield Advanced アプリケーションレイヤーの保護に必要です。複数のリソースACLに同じウェブを使用できます。同様のトラフィックを持つリソースについてのみ、これを行うことをお勧めします。複数のリソースで使用するための要件などACLs、ウェブ の詳細については、「」を参照してくださいその方法は? AWS WAF 仕組み。

Shield Advanced 自動アプリケーションレイヤーDDoS緩和の有効化と設定 – これを有効にすると、DDoS攻撃の一部であると判断したウェブリクエストを Shield Advanced が自動的にブロックまたはカウントするかどうかを指定します。Shield Advanced は、関連するウェブにルールグループを追加ACLし、それを使用してリソースに対するDDoS攻撃に対する応答を動的に管理します。ルールアクションのオプションについては、「でのルールアクションの使用 AWS WAF」を参照してください。

（オプションですが推奨) ウェブにレートベースのルールを追加する ACL – デフォルトでは、レートベースのルールは、個々の IP アドレスが短時間に大量のリクエストを送信できないようにすることで、DDoS攻撃に対する基本的な保護をリソースに提供します。カスタムリクエストの集約オプションや例など、レートベースのルールの詳細については、「でのレートベースのルールステートメントの使用 AWS WAF」を参照してください。

必要に応じて、 は Shield Advanced 用のルールグループを追加します – リソースACLに関連付けられている AWS WAF ウェブに、自動アプリケーションレイヤーDDoS緩和専用の AWS WAF ルールグループルールがまだない場合は、Shield Advanced がルールグループを追加します。

グループルールのルール名は ShieldMitigationRuleGroup で始まります。ルールグループには、常に という名前のレートベースのルールが含まれておりShieldKnownOffenderIPRateBasedRule、DDoS攻撃のソースとして知られている IP アドレスからのリクエストの量を制限します。Shield Advanced ルールグループとそれを参照するウェブACLルールの詳細については、「」を参照してくださいShield Advanced ルールグループによるアプリケーションレイヤーの保護。

リソースに対するDDoS攻撃への応答を開始します – Shield Advanced は、保護されたリソースに対するDDoS攻撃に自動的に応答します。Shield Advanced は、常に存在するレートベースのルールに加えて、そのルールグループを使用して、DDoS攻撃緩和のためのカスタム AWS WAF ルールをデプロイします。Shield Advanced は、これらのルールをアプリケーションとアプリケーションが経験する攻撃に合わせて調整し、デプロイする前にリソースの過去のトラフィックに照らし合わせてテストします。