攻撃後の AWS Shield Advanced 内のクレジットに対するリクエスト - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

攻撃後の AWS Shield Advanced 内のクレジットに対するリクエスト

AWS Shield Advanced をサブスクライブしていて、Shield Advanced で保護されたリソースの使用量を多くする DDoS 攻撃が発生した場合は、Shield Advanced によって緩和されない範囲で、使用量の増加に関連する料金の Sheild Advanced サービスクレジットをリクエストできます。

注記

このプロセスを通じて受け取ったクレジットは、Shield Advanced の使用にのみ適用できます。Shield Advanced クレジットは、他のサービスでは使用できません。

クレジットは、次のタイプの請求でのみ使用できます。

  • Shield Advanced データ転送アウト

  • Amazon CloudFront HTTP/HTTPS リクエスト

  • CloudFront データ転送アウト

  • Amazon Route 53 クエリ

  • AWS Global Accelerator 標準アクセラレーターのデータ転送

  • Application Load Balancer のロードバランサー容量ユニット

  • 攻撃に対応して自動スケーリングポリシーによって作成、保護された Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのインスタンスコスト

クレジットをリクエストするための前提条件

クレジットの付与を受けるための要件を満たすには、攻撃が始まる前に、次のことを完了している必要があります。

  • クレジットをリクエストするリソースに Shield Advanced 保護を追加しておく必要があります。攻撃を受けている最中に追加された保護対象リソースは、コスト保護の対象外です。

    注記

    AWS アカウント で Shield Advanced を有効にしても、個々のリソースの Shield Advanced 保護が自動的に有効になるわけではありません。

    Shield Advanced を使用して AWS リソースを保護する方法の詳細については、「AWS リソースへの AWS Shield Advanced 保護の追加」を参照してください。

  • 該当する CloudFront および Application Load Balancer で保護されたリソースについては、AWS WAF ウェブ ACL を関連付け、Block モードのウェブ ACL にレートベースのルールを実装している必要があります。AWS WAF のレートベースルールの詳細については、「AWS WAF でのレートベースのルールステートメントの使用」を参照してください。ウェブ ACL を AWS リソースに関連付ける方法については、「AWS WAF でのウェブ ACL の使用」を参照してください。

  • DDoS 攻撃を受けている最中のコストを最小限に抑えるようにアプリケーションを設定するには、「DDoS レジリエンシーに関する AWS のベストプラクティス」の適切なベストプラクティスを実装しておく必要があります。

クレジットの申請方法

クレジットの付与を受けるために要件を満たすには、攻撃が発生した請求月の直後から 15 日以内にクレジットリクエストを送信する必要があります。

クレジットを申請するには、AWS Support Center を通じて請求ケースを提出してください。リクエストには次の内容を含めます。

  • 件名の「DDoS Concession」という文字

  • クレジットをリクエストしている各イベントまたは可用性の中断の日時

  • 影響を受けた AWS のサービスと特定のリソース

リクエストを送信すると、AWS Shield Response Team (SRT) は、DDoS 攻撃が発生したかどうか、発生した場合は、保護されたリソースが DDoS 攻撃を吸収するためにスケールしたかどうかを検証します。保護されたリソースが DDoS 攻撃を吸収するようにスケールしたと AWS が判断した場合、DDoS 攻撃が原因であると AWS が判断したトラフィックのその部分について、AWS はクレジットを発行します。クレジットは 12 か月間有効です。