アプリケーションレイヤー DDoS 自動緩和と AWS CloudFormation との併用 - AWS WAF、AWS Firewall Manager、および AWS Shield Advanced

アプリケーションレイヤー DDoS 自動緩和と AWS CloudFormation との併用

AWS CloudFormation を使用して保護と AWS WAF ウェブ ACL を管理する方法について説明します。

アプリケーションレイヤー DDoS 自動緩和の有効化または無効化

アプリケーションレイヤー DDoS 自動緩和は、AWS::Shield::Protection リソースを使用して AWS CloudFormation から有効および無効にできます。コンソールやその他のインターフェイスからでも、同じようにこの機能を有効または無効にできます。AWS CloudFormation リソースの詳細については、「AWS CloudFormation ユーザーガイド」の「AWS::Shield::Protection」を参照してください。

自動緩和で使用されるウェブ ACL の管理

Shield Advanced は、保護されたリソースの AWS WAF ウェブ ACL 内のルールグループルールを使用して、保護されたリソースの自動緩和を管理します。AWS WAF コンソールと API を使用すると、名前が ShieldMitigationRuleGroup で始まるルールがウェブ ACL ルールに表示されます。このルールはアプリケーションレイヤー DDoS 自動緩和専用で、Shield Advanced と AWS WAF がユーザーに代わって管理します。詳細については、Shield Advanced ルールグループによるアプリケーションレイヤーの保護およびShield Advanced が自動緩和を管理する方法を参照してください。

ウェブ ACL の管理に AWS CloudFormation を使用する場合は、ウェブ ACL テンプレートに Shield Advanced ルールグループルールを追加しないでください。自動緩和保護で使用されているウェブ ACL を更新すると、AWS WAF はウェブ ACL 内のルールグループルールを自動的に管理します。

AWS CloudFormation で管理する他のウェブ ACL と比較すると、次のような違いがあります。

  • AWS CloudFormation は、Shield Advanced ルールグループルールが定義されたウェブ ACL の実際の設定と、ルールが定義されていないウェブ ACL テンプレートとの間で発生したドリフトをスタックドリフトステータスに報告しません。Shield Advanced ルールは、ドリフト詳細でリソースの実際のリストには表示されません。

    Shield Advanced ルールグループルールは、AWS WAF コンソールや AWS WAF API などを使用して AWS WAF から取得したウェブ ACL リストに表示されるようになります。

  • スタック内のウェブ ACL テンプレートを変更した場合、AWS WAF と Shield Advanced は、更新されたウェブ ACL 内の Shield Advanced 自動緩和ルールを自動的に維持します。Shield Advanced が提供する自動緩和保護は、ウェブ ACL を更新しても中断されることはありません。

AWS CloudFormation ウェブ ACL テンプレート内で Shield Advanced ルールを管理しないでください。ウェブ ACL テンプレートで Shield Advanced ルールを表示しないでください。「アプリケーションレイヤー DDoS 自動緩和機能を使用するためのベストプラクティス。」のウェブ ACL 管理のベストプラクティスに従ってください。