**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# アプリケーションレイヤー DDoS 自動緩和の有効化
<a name="ddos-automatic-app-layer-response-config"></a>

このページでは、アプリケーションレイヤー攻撃に自動的に対応するように Shield Advanced を設定する方法について説明します。

Shield Advanced 自動緩和機能は、リソースのためのアプリケーションレイヤーの DDoS 保護の一部として有効にします。コンソールからこれを実行する方法については、「[アプリケーションレイヤー DDoS 保護を設定する](manage-protection.md#configure-app-layer-protection)」を参照してください。

自動緩和機能を使用するには、次の操作を行う必要があります。
+ **[Associate a web ACL with the resource]** (ウェブ ACL をリソースに関連付ける) – これは、Shield Advanced アプリケーションレイヤー保護のために必須です。複数のリソースに同じウェブ ACL を使用できます。同様のトラフィックを持つリソースについてのみ、これを行うことをお勧めします。ウェブ ACL を複数のリソースで使用するための要件など、ウェブ ACL の詳細については、「[の AWS WAF 仕組み](how-aws-waf-works.md)」を参照してください。
+ **[Enable and configure Shield Advanced automatic application layer DDoS mitigation]** (Shield Advanced アプリケーションレイヤー DDoS 自動緩和を有効にして設定する) – これを有効にする際に、Shield Advanced が DDoS 攻撃の一部であると判断したウェブリクエストを自動的にブロックまたはカウントするかどうかを指定します。Shield Advanced は、関連付けられたウェブ ACL にルールグループを追加し、それを使用して、リソースに対する DDoS 攻撃に対する対応を動的に管理します。ルールアクションのオプションについては、「[でのルールアクションの使用 AWS WAF](waf-rule-action.md)」を参照してください。
+ **(オプションですが、推奨されます) ウェブ ACL にレートベースのルールを追加する** – デフォルトでは、レートベースのルールは、個々の IP アドレスによる短時間の大量リクエスト送信を防ぐことで、DDoS 攻撃に対する基本的な保護をリソースに提供します。カスタムリクエストの集約オプションや例など、レートベースのルールの詳細については、「[でのレートベースのルールステートメントの使用 AWS WAF](waf-rule-statement-type-rate-based.md)」を参照してください。

## 自動緩和を有効にした場合の実行内容
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced は、自動緩和を有効にすると、次の処理を実行します。
+ **必要に応じて、 は Shield Advanced 用のルールグループを追加します** – リソースに関連付けられた AWS WAF ウェブ ACL に、アプリケーションレイヤー DDoS 自動緩和専用の AWS WAF ルールグループルールがまだない場合、Shield Advanced はルールグループを追加します。

  グループルールのルール名は `ShieldMitigationRuleGroup` で始まります。ルールグループには常に `ShieldKnownOffenderIPRateBasedRule` という名前のレートベースのルールが含まれており、DDoS 攻撃のソースであることが判明している IP アドレスからのリクエストの量を制限します。Shield Advanced ルールグループと参照するウェブ ACL ルールの詳細については、「[Shield Advanced ルールグループによるアプリケーションレイヤーの保護](ddos-automatic-app-layer-response-rg.md)」を参照してください。
+ **[Starts responding to DDoS attacks against the resource]** (リソースに対する DDoS 攻撃への対応を開始) – Shield Advanced は、保護されたリソースに対する DDoS 攻撃に自動的に対応します。常に存在するレートベースのルールに加えて、Shield Advanced はルールグループを使用して DDoS 攻撃の軽減のためのカスタム AWS WAF ルールをデプロイします。Shield Advanced は、これらのルールをアプリケーションとアプリケーションが経験する攻撃に合わせて調整し、デプロイする前にリソースの過去のトラフィックに照らし合わせてテストします。

Shield Advanced は、自動緩和に使用するウェブ ACL で単一のルールグループルールを使用します。Shield Advanced が、別の保護されたリソースのルールグループを追加している場合、ウェブ ACL には別のルールグループを追加しません。

アプリケーションレイヤー DDoS 自動緩和は、攻撃を緩和するためのルールグループの存在によって異なります。何らかの理由でルールグループが AWS WAF ウェブ ACL から削除された場合、削除はウェブ ACL に関連付けられているすべてのリソースの自動緩和を無効にします。