Gerenciando proteções de recursos em AWS Shield Advanced - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced
Adicionar a proteção a um recursoComo configurar proteçõesRemover a proteção de um recurso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciando proteções de recursos em AWS Shield Advanced

Use as orientações desta seção para gerenciar as proteções do Shield Advanced para seus recursos.

nota

O Shield Advanced protege somente os recursos que você especificou no Shield Advanced ou por meio de uma política AWS Firewall Manager do Shield Advanced. Ele não protege automaticamente seus recursos.

Se você estiver usando uma política AWS Firewall Manager Shield Advanced, não precisará gerenciar as proteções dos recursos que estão no escopo da política. O Firewall Manager gerencia automaticamente as proteções de contas e recursos que estão no escopo de uma política, de acordo com a configuração da política. Para ter mais informações, consulte AWS Shield Advanced políticas.

Adicionando AWS Shield Advanced proteção aos AWS recursos

Siga as orientações nesta seção para adicionar a proteção Shield Advanced a um ou mais recursos.

Para adicionar proteção a um AWS recurso

  1. Faça login AWS Management Console e abra o console AWS WAF & Shield em https://console.aws.amazon.com/wafv2/.

  2. No painel de navegação, em AWS Shield escolha Recursos protegidos.

  3. Escolha Adicionar recursos para proteger.

  4. Na página Escolher recursos para proteger com o Shield Advanced, em Especificar a região e os tipos de recursos, forneça as especificações de região e tipo de recurso para os recursos que você quer proteger. Você pode proteger recursos em várias regiões selecionando Todas as regiões, e pode restringir a seleção a recursos globais selecionando Global. Você pode desmarcar qualquer tipo de recurso que não queira proteger. Para obter informações sobre proteções para seus tipos de recursos, consulte AWS Shield Advanced proteções por tipo de recurso.

  5. Escolha Carregar recursos. O Shield Advanced preenche a seção Selecionar recursos com os recursos AWS que correspondem aos seus critérios.

  6. Na seção Selecionar recursos, você pode filtrar a lista de recursos inserindo uma string para pesquisar nas listas de recursos.

    Escolha os recursos que você deseja proteger.

  7. Na seção Tags, se você quiser adicionar tags às proteções Shield Advanced que estiver criando, especifique-as. Para obter mais informações sobre como marcar recursos AWS , consulte Trabalhar com o Tag Editor.

  8. Escolha Proteger com o Shield Advanced. Isso adiciona as proteções do Shield Advanced aos recursos.

Configurando proteções AWS Shield Advanced

Você pode alterar as configurações de suas AWS Shield Advanced proteções a qualquer momento. Para fazer isso, você percorre as opções para as suas proteções selecionadas e modifica as configurações que precisar alterar.

Para gerenciar recursos protegidos

  1. Faça login AWS Management Console e abra o console AWS WAF & Shield em https://console.aws.amazon.com/wafv2/.

  2. No painel AWS Shield de navegação, escolha Recursos protegidos.

  3. Na aba Proteções, escolha os recursos que você deseja proteger.

  4. Escolha Configurar proteções e a opção de especificação de recursos que você deseja.

  5. Percorra cada uma das opções de proteção de recursos, fazendo as alterações necessárias.

Configurar as proteções contra DDoS na camada de aplicação

Para se proteger contra ataques aos recursos da Amazon CloudFront e do Application Load Balancer, você pode adicionar ACLs AWS WAF da web e adicionar regras baseadas em taxas. Para obter mais informações sobre isso, consulte ACLs AWS WAF da web da camada de aplicação Shield Advanced e regras baseadas em taxas.

Você também pode ativar a mitigação automática de DDoS da camada de aplicação do Shield Advanced. Para obter informações sobre como AWS WAF funciona, consulteAWS WAF. Para obter informações sobre o atributo de mitigação automática, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

Importante

Se você gerencia suas proteções Shield Advanced AWS Firewall Manager usando uma política Shield Advanced, não poderá gerenciar as proteções da camada de aplicação aqui. Para todos os outros recursos, recomendamos anexar pelo menos uma web ACL a cada recurso, mesmo que essa web ACL não contenha nenhuma regra.

nota

Quando você ativa a mitigação automática de DDoS na camada de aplicação para um recurso, se necessário, a operação adiciona automaticamente uma função vinculada ao serviço à sua conta para dar ao Shield Advanced as permissões necessárias para gerenciar suas proteções de web ACL. Para mais informações, consulte Usar funções vinculadas ao serviço para o Shield Advanced.

Para configurar as proteções contra DDoS na camada de aplicação

  1. Na página Configurar proteções contra DDoS da camada 7, se o recurso ainda não estiver associado a uma web ACL, você poderá escolher uma web ACL existente ou criar a sua própria.

    Para criar uma web ACL, siga estas etapas:

    1. Escolha Criar web ACL.

    2. Insira um nome. Você não pode alterar o nome depois de criar a web ACL.

    3. Escolha Criar.

    nota

    Se um recurso já estiver associado a uma web ACL, você não poderá mudar para uma web ACL diferente. Se você deseja alterar a web ACL, é necessário primeiro remover as web ACLs associadas do recurso. Para ter mais informações, consulte Associando ou desassociando uma ACL da web com um recurso AWS.

  2. Se a web ACL não tiver uma regra baseada em intervalos definida, você poderá adicionar uma escolhendo Adicionar regra de limite de intervalo e, em seguida, executar as seguintes etapas:

    1. Insira um nome.

    2. Insira um limite de intervalo. Este é o número máximo de solicitações permitidas em um período de cinco minutos de um único endereço IP antes da ação da regra baseada em intervalos ser aplicada ao endereço IP. Quando as solicitações do endereço IP ficam abaixo do limite, a ação é interrompida.

    3. Defina a ação da regra para contar ou bloquear solicitações de endereços IP enquanto suas contagens de solicitações estiverem acima do limite. A aplicação e a remoção da ação da regra podem entrar em vigor um ou dois minutos após a alteração do intervalo de solicitação do endereço IP.

    4. Escolha Adicionar regra.

  3. Para Mitigação automática de DDoS na camada de aplicação, escolha se você deseja que o Shield Advanced mitigue automaticamente os ataques de DDoS em seu nome, da seguinte forma:

    • Para ativar a mitigação automática, escolha Ativar e selecione a ação de AWS WAF regra que você deseja que o Shield Advanced use em suas regras personalizadas. Suas escolhas são Count e Block. Para obter informações sobre essas ações de AWS WAF regras, consulteAção da regra. Para obter informações sobre como o Shield Avançado gerencia essa configuração de ação, consulte Como o Shield Avançado gerencia a configuração de ação de regra.

    • Para desativar a mitigação automática, escolha Desativar.

    • Para deixar as configurações de mitigação automática inalteradas para os recursos que você está gerenciando, deixe marcada a opção padrão Manter as configurações atuais.

    Para obter informações sobre a mitigação automática de DDoS da camada de aplicação do Shield Advanced, consulte Mitigação automática de DDoS da camada de aplicação do Shield Advanced.

  4. Escolha Próximo.

Criar alarmes e notificações

O procedimento a seguir mostra como gerenciar CloudWatch alarmes para recursos protegidos.

nota

CloudWatch incorre em custos adicionais. Para obter CloudWatch os preços, consulte Amazon CloudWatch Pricing.

Para criar alarmes e notificações

  1. Na página de proteções Criar alarmes e notificações - opcional, configure os tópicos do SNS para os alarmes e notificações que você deseja receber. Para recursos para os quais você não deseja notificações, escolha Sem tópico. Você pode adicionar um tópico do Amazon SNS ou criar um novo tópico.

  2. Para criar um tópico do Amazon SNS, siga estas etapas:

    1. Na lista suspensa, escolha Criar novo tópico SNS.

    2. Insira o nome do tópico.

    3. Opcionalmente, insira um endereço de e-mail de destino para as mensagens do Amazon SNS e, em seguida, escolha Adicionar e-mail. Você pode inserir mais de um.

    4. Escolha Criar.

  3. Escolha Próximo.

Removendo a AWS Shield Advanced proteção de um AWS recurso

Você pode remover a AWS Shield Advanced proteção de qualquer um dos seus AWS recursos a qualquer momento.

Importante

A exclusão de um AWS recurso não remove o recurso de AWS Shield Advanced. Você também deve remover a proteção do recurso de AWS Shield Advanced, conforme descrito neste procedimento.

Remover a AWS Shield Advanced proteção de um AWS recurso

  1. Faça login AWS Management Console e abra o console AWS WAF & Shield em https://console.aws.amazon.com/wafv2/.

  2. No painel AWS Shield de navegação, escolha Recursos protegidos.

  3. Na aba Proteções, escolha os recursos cujas proteções você deseja remover.

  4. Escolha Excluir proteções.

    1. Se você tiver um CloudWatch alarme da Amazon configurado para uma proteção, você terá a opção de excluir o alarme junto com a proteção. Se você optar por não excluir o alarme neste momento, poderá excluí-lo posteriormente usando o CloudWatch console.

    nota

    Para proteções que tenham uma verificação de integridade do Amazon Route 53 configurada, se você adicionar a proteção outra vez posteriormente, a proteção ainda incluirá a verificação de integridade.

As etapas anteriores removem a AWS Shield Advanced proteção de AWS recursos específicos. Eles não cancelam sua AWS Shield Advanced assinatura. Você continuará a ser cobrado pelo serviço. Para obter informações sobre sua AWS Shield Advanced assinatura, entre em contato com o AWS Support Centro.

Removendo um CloudWatch alarme das proteções Shield Advanced

Para remover um CloudWatch alarme das proteções do Shield Advanced, faça o seguinte:

  • Exclua a proteção, como descrito em Removendo a AWS Shield Advanced proteção de um AWS recurso. Marque a caixa de seleção ao lado de Também excluir o alarme DDoSDetection relacionado.

  • Exclua o alarme usando o CloudWatch console. O nome do alarme a ser excluído começa com DDoS DetectedAlarmForProtection.