**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Shield
防范分布式拒绝服务 (DDoS) 攻击对于面向互联网的应用程序至关重要。当你在此基础上构建应用程序时 AWS,你可以利用 AWS 提供的保护措施,而无需支付额外费用。此外,您可以使用 AWS Shield Advanced 托管威胁防护服务通过其他 DDo S 检测、缓解和响应功能来改善您的安全状况。
AWS 致力于为您提供工具、最佳实践和服务,以帮助确保高可用性、安全性和弹性,以防御互联网上的不良行为者。本指南旨在帮助 IT 决策者和安全工程师了解如何使用 Shield 和 Shield Advanced 来更好地保护其应用程序免受 DDo S 攻击和其他外部威胁。
当你在其上构建应用程序时 AWS,你会获得自动保护, AWS 抵御常见的容量 DDo S 攻击向量,例如 UDP 反射攻击和 TCP SYN 洪水。您可以利用这些保护措施来设计和配置您的架构以实现 DDo S 弹性, AWS 从而确保运行的应用程序的可用性。
本指南提供的建议可以帮助您设计、创建和配置应用程序架构,以实现 DDo S 弹性。遵循本指南中提供的最佳实践的应用程序在成为更大的 DDo S 攻击和更广泛的 S 攻击向量的目标时,可用性的连续性可以得到改善。 DDo此外,本指南还向您展示了如何使用 Shield Advanced 为您的关键应用程序实现优化的 DDo S 保护态势。其中包括您已保证为客户提供一定可用性的应用程序,以及 AWS 在 DDo S 事件期间需要运营支持的应用程序。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Shield Advanced 的合规性计划,请参阅[合规性计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。
![\[图中显示了一个水平分割的矩形。上半部分的标题为客户:云中的安全责任,下半部分的标题为 AWS:云的安全责任。上半部分,即客户部分,包含四个层级。最顶部的层级是客户数据。第二个层级是平台、应用程序、身份和访问管理。第三个层级是操作系统、网络和防火墙配置。客户区域的底层第四层分为三个并排的部分。左边是客户端数据、加密和数据完整性、身份验证。中间的是服务器端加密(文件系统 and/or 数据)。右边是网络流量保护(加密、完整性、身份)。图中上半部分的客户内容到此结束。图的下 AWS 半部分包含一个标题为 “软件” 的层,其顶部和下方都有一个标题为 “硬件/AWS 全球基础架构” 的层。软件层分为四个并排的部分,分别是计算、存储、数据库、网络。硬件层分为三个并排的部分,分别是区域、可用区、边缘站点。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shared-responsibility-model.png)
# AWS Shield 和 Shield Advanced 的工作原
本页解释了 AWS Shield Standard 和之间的区别 AWS Shield Advanced。它还描述了 Shield 可检测的攻击类别。
AWS Shield Standard 并针对网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)的 AWS 资源 AWS Shield Advanced 提供针对分布式拒绝服务 (DDoS) 攻击的保护。 DDoS 攻击是一种攻击,在这种攻击中,多个受感染的系统试图向目标充斥流量。 DDoS 攻击可以阻止合法的最终用户访问目标服务,并可能由于流量过大而导致目标崩溃。
AWS Shield 提供针对各种已知的 DDo S 攻击向量和未修补攻击向量的保护。Shield 检测和缓解旨在提供针对威胁的覆盖范围,即使服务在检测时并未明确知道这些威胁。
Shield Standard 是自动提供的,使用 AWS时不收取额外费用。要获得更高级别的攻击防护,您可以订购 AWS Shield Advanced。
Shield 检测到的攻击类别包括:
+ **网络容量攻击(第 3 层)**:这是基础设施层攻击向量的子类别。这些向量试图使目标网络或资源的容量饱和,拒绝向合法用户提供服务。
+ **网络协议攻击(第 4 层)**:这是基础设施层攻击向量的子类别。这些向量滥用协议来拒绝向目标资源提供服务。网络协议攻击的一个常见示例是 TCP SYN 泛洪,它会耗尽服务器、负载均衡器或防火墙等资源的连接状态。网络协议攻击也可以是容量攻击。例如,较大的 TCP SYN 泛洪可能旨在使网络容量饱和,同时还会耗尽目标资源或中间资源的状态。
+ **应用程序层攻击(第 7 层)**:此类攻击向量试图通过向应用程序充斥对目标有效的查询(如 Web 请求泛洪)来拒绝向合法用户提供服务。
**Contents**
+ [AWS Shield Standard 概览](ddos-standard-summary.md)
+ [AWS Shield Advanced 概览](ddos-advanced-summary.md)
+ [AWS Shield Advanced 可保护的 AWS 资源列表](ddos-advanced-summary-protected-resources.md)
+ [AWS Shield Advanced 功能和选项](ddos-advanced-summary-capabilities.md)
+ [决定是否订阅 AWS Shield Advanced 和应用其他保护](ddos-advanced-summary-deciding.md)
+ [DDoS 攻击的示例](types-of-ddos-attacks.md)
+ [如何 AWS Shield 检测事件](ddos-event-detection.md)
+ [AWS Shield 基础设施层威胁(第 3 层和第 4 层)的检测逻辑](ddos-event-detection-infrastructure.md)
+ [应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑](ddos-event-detection-application.md)
+ [应用程序中多个资源的 Shield Advanced 检测逻辑](ddos-event-detection-multiple-resources.md)
+ [如何 AWS Shield 缓解事件](ddos-event-mitigation.md)
+ [AWS Shield DDoS 缓解功能列表](ddos-event-mitigation-features.md)
+ [AWS Shield CloudFront 和 Route 53 的缓解逻辑](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield AWS 区域的缓解逻辑](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield AWS Global Accelerator 标准加速器的缓解逻辑](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced 弹性的缓解逻辑 IPs](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced Web 应用程序的缓解逻辑](ddos-event-mitigation-logic-adv-web-app.md)
# AWS Shield Standard 概览
AWS Shield 是一项托管威胁防护服务,可保护应用程序的外围环境。外围是来自 AWS 网络外部的应用程序流量的第一个入口点。
要确定您的应用程序边界在哪里,请考虑用户如何从互联网访问您的应用程序。如果第一个入口点位于某个 AWS 区域,则应用程序边界就是您的亚马逊虚拟私有云 (VPC) VPC。如果用户通过 Amazon Route 53 定向到您的应用程序,并首先使用 Amazon CloudFront 或(或)访问该应用程序 AWS Global Accelerator,则应用程序边界将从 AWS 网络边缘开始。
Shield 为所有运行的应用程序提供 DDo S 检测和缓解优势 AWS,但是您在设计应用程序架构时做出的决策将影响您的 DDo S 弹性级别。 DDoS 弹性是指您的应用程序在攻击期间继续在预期参数内运行的能力。
所有 AWS 客户均可享受Shield Standard的自动保护,无需额外付费。Shield Standard 可抵御针对您的网站或应用程序的最常见、最频繁发生的网络和传输层 DDo S 攻击。虽然 Shield Standard 有助于保护所有 AWS 客户,但您可以通过 Amazon Route 53 托管区域、亚马逊 CloudFront 分发和 AWS Global Accelerator 标准加速器获得特别的好处。这些资源可获得全面的可用性保护,抵御所有已知的网络和传输层攻击。
# AWS Shield Advanced 概览
AWS Shield Advanced 是一项托管服务,可帮助您保护应用程序免受外部威胁,例如 DDo S 攻击、容量机器人和漏洞利用企图。要获得更高级别的攻击防护,您可以订购 AWS Shield Advanced。
当你订阅 Shield Advanced 并为你的资源添加保护时,Shield Advanced 会为这些资源提供扩展的 DDo S 攻击保护。根据您的架构和配置选择,您从 Shield Advanced 获得的保护可能会有所不同。使用本指南中的信息使用 Shield Advanced 构建和保护弹性应用程序,并在需要专家帮助时上报。
**Shield 高级版订阅和 AWS WAF 费用**
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。
启用 Shield Advanced 自动应用层 DDo S 缓解会向您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。
有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
**Shield Advanced 订阅账单**
如果您是 AWS 渠道经销商,请与您的客户团队联系以获取信息和指导。此账单信息适用于非 AWS 渠道经销商的客户。
对于所有其他订阅和计费指南,则适用以下订阅和计费指南:
+ 对于属于 AWS Organizations 组织成员的账户,无论付款人账户本身是否已订阅,都要从该组织的付款人账户中扣除 Shield Advanced 订阅 AWS 费用。
+ 当您订阅属于同一个[AWS Organizations 整合账单账户系列](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多个账户时,该系列中所有已订阅的账户适用一个订阅价格。组织必须拥有其所有 AWS 账户 和所有资源。
+ 当您为多个组织订阅多个账户时,如果您拥有所有组织、账户和资源,您可以用一笔订阅费支付所有组织、账户和资源的费用。请联系您的客户经理或 AWS 支持人员,申请免除其中一个组织以外的所有组织的 AWS Shield Advanced 订阅费用。
有关定价信息和示例的详细信息,请参阅 [AWS Shield 定价](https://aws.amazon.com/shield/pricing/)。
**Topics**
# AWS Shield Advanced 可保护的 AWS 资源列表
**注意**
只有你在 Shield Advanced 中明确指定的资源或通过 Shield Advanced 策略保护的资源才会启用 AWS Firewall Manager Shield 高级保护。Shield Advanced 不会自动保护您的资源。
您可以使用 Shield Advanced 对以下资源类型进行高级监控和保护:
+ 亚马逊 CloudFront 配送。为了 CloudFront 持续部署,Shield Advanced 可以保护与受保护的主发行版关联的所有暂存分发。
+ Amazon Route 53 托管区。
+ AWS Global Accelerator 标准加速器。
+ 亚马逊 EC2 弹性 IP 地址。Shield Advanced 可保护与受保护的弹性 IP 地址关联的资源。
+ 亚马逊 EC2 实例,通过关联亚马逊 EC2 弹性 IP 地址。
+ 以下弹性负载均衡(ELB)负载均衡器:
+ 应用程序负载均衡器。
+ 经典负载均衡器。
+ 网络负载均衡器,通过与 Amazon EC2 弹性 IP 地址的关联。
有关这些资源类型保护的更多信息,请参阅 [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)。
# AWS Shield Advanced 功能和选项
AWS Shield Advanced 订阅包括以下功能和选项。它们补充了您已经获得的 DDo S 检测和缓解功能 AWS。
+ **AWS WAF 集成** — Shield Advanc AWS WAF ed 使用 Web ACLs、规则和规则组作为其应用层保护的一部分。有关的更多信息 AWS WAF,请参阅[如何 AWS WAF 运作](how-aws-waf-works.md)。
**注意**
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。
启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。
有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
+ **自动缓解应用层 DDo S**-您可以将 Shield Advanced 配置为自动响应,以缓解针对受保护资源的应用层(第 7 层)攻击。通过自动缓解,Shield Advanced 对来自已知 DDo S 源的请求强制执行 AWS WAF 速率限制,并自动添加和管理自定义 AWS WAF 保护以应对检测到的 DDo S 攻击。您可以配置自动缓解以计算或阻止作为攻击一部分的 web 请求。
有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
+ **运行状况检测**:您可以将 Amazon Route 53 运行状况检查与 Shield Advanced 结合使用,为事件检测和缓解提供信息。Health checks 会根据您的规格监控您的应用程序,在满足您的规格时报告运行状况正常,不符合规格时报告运行状况不佳。在 Shield Advanced 中使用运行状况检查有助于防止误报,并在受保护的资源状况不佳时更快地进行检测和缓解。您可以对除 Route 53 托管区域之外的任何资源类型使用运行状况检测。Shield Advanced 主动交互仅适用于启用了运行状况检测的资源。
有关更多信息,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
+ **保护组**:您可以使用保护组来创建受保护资源的逻辑分组,以增强对整个组的检测和缓解。您可以定义保护组成员资格的条件,以便自动包括新受保护的资源。受保护资源可归属于多个保护组。
有关更多信息,请参阅 [对您的 AWS Shield Advanced 保护进行分组](ddos-protection-groups.md)。
+ **增强对 DDo S 事件和攻击的可见性** — Shield Advanced 允许您访问高级的实时指标和报告,从而全面了解受保护 AWS 资源的事件和攻击。您可以通过 Shield Advanced API 和控制台以及亚马逊 CloudWatch 指标访问这些信息。
有关更多信息,请参阅 [使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md)。
+ **通过以下方式集中管理 Shield 高级保护 AWS Firewall Manager** — 您可以使用 Firewall Manager 自动将 Shield 高级保护应用于您的新账户和资源,并将 AWS WAF 规则部署到您的网络 ACLs。Firewall Manager Shield Advanced 保护策略包含在内,Shield Advanced 客户无需额外付费。您还可以使用带有 Amazon Simple Notification Service (SNS) 主题或 AWS Security Hub CSPM的 Firewall Manager 为您的账户集中管理 Shield Advanced 监控活动或。
有关使用 Firewall Manager 管理 Shield Advanced 保护的更多信息,请参阅 [AWS Firewall Manager](fms-chapter.md) 和 [在 Firewall Manager 中使用 AWS Shield Advanced 策略](shield-policies.md)。有关 Firewall Manager 定价的更多信息,请参阅 [AWS Firewall Manager 定价](https://aws.amazon.com/firewall-manager/pricing/)。
+ **AWS Shield Response Team (SRT)** — SRT 在保护 AWS亚马逊及其子公司方面拥有丰富的经验。作为 AWS Shield Advanced 客户,在影响应用程序可用性的 DDo S 攻击期间,您可以随时联系 SRT 寻求帮助。您还可以使用 SRT 为您的资源创建和管理自定义缓解措施。要使用 SRT 的服务,您还必须订阅 [Business Support Plan](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。
有关更多信息,请参阅 [支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应](ddos-srt-support.md)。
+ **主动参与**:通过主动参与,如果您与受保护资源关联的 Amazon Route 53 运行状况检查在 Shield Advanced 检测到的事件中显示状况不佳,则 Shield 响应团队 (SRT) 会直接与您联系。这样一来,当您的应用程序可用性可能受到疑似攻击影响时,您可以更快地与专家联系。
有关更多信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
+ **成本保护机会** — Shield Advanced 提供了一些成本保护,以防您的受保护资源遭受 DDo S 攻击而导致 AWS 账单激增。这可能包括对 Shield Advanced 数据传出 (DTO) 使用费峰值的保障。Shield Advanced 以 Shield Advanced 服务积分的形式提供任何成本保护。
有关更多信息,请参阅 [攻击发生 AWS Shield Advanced 后申请积分](ddos-request-service-credit.md)。
# 决定是否订阅 AWS Shield Advanced 和应用其他保护
请查看本节中的场景,以帮助决定哪些账户应订阅 AWS Shield Advanced 以及在何处应用其他保护。使用 Shield Advanced,您只需为整合账单账户下创建的所有账户支付月度订阅费,外加根据传出的数据量 GB 计算的使用费。有关 Shield Advanced 定价的信息,请参阅 [AWS Shield Advanced 定价](https://aws.amazon.com/shield/pricing/)。
要使用 Shield Advanced 保护应用程序及其资源,您需要将管理该应用程序的账户订阅到 Shield Advanced,然后为应用程序的资源添加保护。有关订阅账户和保护资源的信息,请参阅 [设置 AWS Shield Advanced](getting-started-ddos.md)。
**Shield 高级版订阅和 AWS WAF 费用**
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。
启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。
有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
**Shield Advanced 订阅账单**
如果您是 AWS 渠道经销商,请咨询您的客户团队以获取信息和指导。此账单信息适用于非 AWS 渠道经销商的客户。
对于所有其他订阅和计费指南,则适用以下订阅和计费指南:
+ 对于属于 AWS Organizations 组织成员的账户,无论付款人账户本身是否已订阅,都要从该组织的付款人账户中扣除 Shield Advanced 订阅 AWS 费用。
+ 当您订阅属于同一个[AWS Organizations 整合账单账户系列](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多个账户时,该系列中所有已订阅的账户适用一个订阅价格。组织必须拥有其所有 AWS 账户 和所有资源。
+ 当您为多个组织订阅多个账户时,如果您拥有所有组织、账户和资源,您可以用一笔订阅费支付所有组织、账户和资源的费用。请联系您的客户经理或 AWS 支持人员,申请免除其中一个组织以外的所有组织的 AWS Shield Advanced 订阅费用。
有关定价信息和示例的详细信息,请参阅 [AWS Shield 定价](https://aws.amazon.com/shield/pricing/)。
**确定要保护的应用程序**
考虑为需要以下任何一项的应用程序实施 Shield Advanced 保护:
+ 保证应用程序用户的可用性。
+ 如果应用程序受到 DDo S 攻击的影响,可以快速联系 DDo S 缓解专家。
+ 意识到应用程序可能受 AWS 到 DDo S 攻击的影响,并通知您的安全或运营团队发出的攻击 AWS 并升级到您的安全或运营团队。
+ 云成本的可预测性,包括 DDo S 攻击何时影响您对 AWS 服务的使用。
如果应用程序或其资源需要上述任何一项,请考虑为相关账户创建订阅。
**确定要保护的资源**
对于每个订阅的账户,可以考虑为每个具有以下任一特征的资源添加 Shield Advanced 保护:
+ 该资源为互联网上的外部用户提供服务。
+ 该资源暴露在互联网上,也是关键应用程序的一部分。考虑每一个暴露的资源,无论您是否打算让互联网上的用户访问这些资源。
+ 该资源受到 AWS WAF Web ACL 的保护。
要了解有关为资源创建和管理保护措施的更多信息,请参阅 [中的资源保护 AWS Shield Advanced](ddos-resource-protections.md)
此外,请按照本指南中的建议进行操作,以帮助确保您的应用程序架构符合 DDo S 弹性,并正确配置 Shield Advanced 的功能以获得最佳保护。
# DDoS 攻击的示例
AWS Shield Advanced 提供针对多种类型攻击的扩展保护。
以下列表描述了一些常见的攻击类型:
**用户数据报协议 (UDP) 反射攻击**
在 UDP 反射攻击中,攻击者能够仿冒请求来源,并使用 UDP 从服务器引出高流量的响应。转向被仿冒和攻击的 IP 地址的额外网络流量会拖慢目标服务器,并阻止合法最终用户访问所需资源。
**TCP SYN 泛洪**
TCP SYN 泛洪攻击的目的是通过将连接保持在半开放状态来耗尽系统的可用资源。当用户连接到 TCP 服务(如 Web 服务器)时,客户端将发送 TCP SYN 数据包。服务器将返回确认,客户端将返回自己的确认,完成三次握手。在 TCP SYN 泛洪中,永远不会返回第三个确认,服务器将一直等待响应。这会使其他用户无法连接到服务器。
**DNS 查询泛洪**
在 DNS 查询洪水中,攻击者使用多个 DNS 查询耗尽 DNS 服务器的资源。 AWS Shield Advanced 可以帮助抵御对 Route 53 DNS 服务器的 DNS 查询洪水攻击。
**HTTP 泛洪/缓存清除 (第 7 层) 攻击**
借助 HTTP 泛洪(包括 `GET` 和 `POST` 泛洪),攻击者可以发送看似来自 Web 应用程序的真实用户的多个 HTTP 请求。缓存清除攻击是一种 HTTP 泛洪,它在 HTTP 请求的查询字符串中使用禁止使用的位于边缘的缓存内容的变体,并强制从源 Web 服务器提供内容,从而导致对源 Web 服务器造成附加的、可能具有破坏性的压力。
# 如何 AWS Shield 检测事件
AWS 为 AWS 网络和个别服务运行 AWS 服务级别检测系统,以确保它们在 DDo S 攻击期间保持可用。此外,资源级检测系统会监控每个单独的 AWS 资源,以确保流向该资源的流量保持在预期参数之内。这种组合通过应用缓解措施来保护目标 AWS 资源和 AWS 服务,这些缓解措施可以丢弃已知的错误数据包,突出显示潜在的恶意流量,并优先考虑来自最终用户的流量。
检测到的事件以 DDo S 攻击向量的名称显示在您的 Shield Advanced 事件摘要、攻击详情和 Amazon CloudWatch 指标中,或者就好像`Volumetric`评估基于流量而不是签名一样。有关该`DDoSDetected` CloudWatch指标中可用的攻击向量维度的更多信息,请参阅[AWS Shield Advanced 指标](shield-metrics.md)。
**Topics**
+ [AWS Shield 基础设施层威胁(第 3 层和第 4 层)的检测逻辑](ddos-event-detection-infrastructure.md)
+ [应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑](ddos-event-detection-application.md)
+ [应用程序中多个资源的 Shield Advanced 检测逻辑](ddos-event-detection-multiple-resources.md)
# AWS Shield 基础设施层威胁(第 3 层和第 4 层)的检测逻辑
本页介绍了基础设施(网络层和传输层)事件检测的工作方式。
用于保护目标 AWS 资源免受基础架构层(第 3 层和第 4 层)中 DDo S 攻击的检测逻辑取决于资源类型以及是否使用保护资源 AWS Shield Advanced。
**检测亚马逊 CloudFront 和亚马逊 53 号公路**
当您使用 CloudFront 和 Route 53 为 Web 应用程序提供服务时,该应用程序的所有数据包都将由完全内联的 DDo S 缓解系统进行检查,该系统不会引入任何可观察到的延迟。 DDo实时缓解了针对 CloudFront 分布和 Route 53 托管区域的 S 攻击。无论您是否使用 AWS Shield Advanced,这些保护措施都适用。
尽可能遵循使用 CloudFront 和 Route 53 作为 Web 应用程序入口点的最佳实践,以最快地检测和缓解 DDo S 事件。
**检测 AWS Global Accelerator 和区域服务**
资源级检测可保护 AWS Global Accelerator 标准加速器和在 AWS 区域中启动的资源,例如经典负载均衡器、应用程序负载均衡器和弹性 IP 地址 ()。EIPs监控这些资源类型是否存在流量提升,这可能表明存在需要缓解的 DDo S 攻击。每分钟都会评估每种 AWS 资源的流量。如果资源流量增加,则会执行其他检查以测量该资源的容量。
Shield 会执行以下标准检查:
+ **Amazon Elastic Compute Cloud (Amazon EC2) 实例、附加到Amazon EC2 实例的 EIP**:Shield 会从受保护资源检索容量。容量取决于目标的实例类型、实例大小和其他因素,例如实例是否使用增强联网。
+ **经典负载均衡器和应用程序负载均衡器**:Shield 从目标负载均衡器节点检索容量。
+ **EIPs 连接到网络负载均衡器** — Shield 从目标负载均衡器检索容量。容量与目标负载均衡器的组配置无关。
+ **AWS Global Accelerator 标准加速器** — Shield 根据端点配置检索容量。
这些评估跨网络流量的多个维度进行,例如端口和协议。如果超过目标资源的容量,Shield 会放置 DDo S 缓解措施。Shield 实施的缓解措施将减少 DDo S 流量,但可能无法将其消除。如果在与已知的 DDo S 攻击向量一致的流量维度上超过资源容量的一小部分,Shield 也可以采取缓解措施。Shield 将这种缓解设置为有限生存时间 (TTL),只要攻击仍在继续,它就会延长该缓解措施。
**注意**
Shield 实施的缓解措施会减少 DDo S 流量,但可能无法将其消除。您可以使用诸如 AWS Network Firewall 或主机防火墙之类的解决方案来增强 Shield,iptables以防止您的应用程序处理对您的应用程序无效或不是由合法最终用户生成的流量。
Shield Advanced 保护在现有的 Shield 检测活动中增加了以下内容:
+ **降低检测阈值**:Shield Advanced 将缓解措施设置为计算容量的一半。这可以更快地缓解上升速度较慢的攻击,并缓解体量特征较为模糊的攻击。
+ **间歇性攻击防护**:Shield Advanced 根据攻击的频率和持续时间,将缓解的生存时间 (TTL) 以指数形式递增。当资源经常成为攻击目标以及攻击发生在短时间内时,这可以延长缓解措施的持续时间。
+ **运行状况检测**:将 Route 53 运行状况检查与 Shield Advanced 受保护的资源关联时,将在检测逻辑中使用运行状况检查的状态。在检测到的事件中,如果运行状况检查显示状况正常,Shield Advanced 需要进一步确信该事件是攻击,才会采取缓解措施。相反,如果运行状况检查显示状况不佳,Shield Advanced 可能会在确信之前就采取缓解措施。此功能有助于避免误报,并且可以更快地对影响应用程序的攻击做出反应。有关使用 Shield Advanced 进行运行状况检查的信息,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
# 应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑
本页介绍了应用程序层的事件检测的工作方式。
AWS Shield Advanced 为受保护的 Amazon CloudFront 分配和应用程序负载均衡器提供 Web 应用程序层检测。使用 Shield Advanced 保护这些资源类型时,可以将 AWS WAF Web ACL 与保护关联起来,以启用 Web 应用程序层检测。Shield Advanced 使用关联的 Web ACL 的请求数据,并为您的应用程序构建流量基准。Web 应用程序层检测依赖于 Shield Advanced 和 AWS WAF。要详细了解应用层保护,包括将 AWS WAF Web ACL 与 Shield Advanced 受保护的资源相关联,请参阅[使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF](ddos-app-layer-protections.md)。
对于 Web 应用程序层检测,Shield Advanced 会监控应用程序流量,并将其与历史基线进行比较,以查找异常情况。这种监控涵盖了总流量和流量构成。在 DDo S 攻击期间,我们预计流量和流量构成都会发生变化,而 Shield Advanced 需要两者之间存在统计学上的显著偏差才能声明事件。
Shield Advanced 根据历史时间窗口进行测量。这种方法可以减少因流量的合理变化或符合预期模式的流量变化(如每天同一时间的促销活动)而产生的误报。
**注意**
让 Shield Advanced 有时间建立代表正常、合法流量模式的基准,从而避免在 Shield Advanced 保护中出现误报。当将 Web ACL 关联至受保护的资源时,Shield Advanced 随即开始收集其基准信息。在任何可能导致网络流量异常模式的计划事件发生前至少 24 小时将 Web ACL 与您的受保护资源关联。Shield Advanced Web 应用程序层检测在观察到 30 天正常流量时最为准确。
Shield Advanced 检测事件所花费的时间受其观察到的流量变化程度的影响。对于较小的流量变化,Shield Advanced 会进行较长时间的流量观测,以确定事件的发生。对于较大的流量变化,Shield Advanced 可以更快地检测和报告事件。
Web ACL 中基于速率的规则,无论是您添加还是由 Shield Advanced 自动应用程序层缓解功能添加,都可以在攻击达到可检测级别之前对其进行缓解。有关自动应用层 DDo S 缓解措施的更多信息,请参阅[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
**注意**
您可以设计您的应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不会受到较小的请求泛滥的影响。使用 Shield Advanced,您的受保护资源将受到成本保护。这有助于保护您免受 DDo S 攻击可能导致云账单意外增加的影响。要了解有关 Shield Advanced 成本保护的更多信息,请参阅 [攻击发生 AWS Shield Advanced 后申请积分](ddos-request-service-credit.md)。
# 应用程序中多个资源的 Shield Advanced 检测逻辑
本页介绍了应用程序中多个资源的事件检测的工作方式。
您可以使用 AWS Shield Advanced 保护组来创建属于同一应用程序的受保护资源的集合。您可以选择在保护组中放置哪些受保护的资源,也可以指明应将相同类型的所有资源视为一个组。例如,您可以创建一个由所有应用程序负载均衡器组成的组。创建保护组时,Shield Advanced 检测会聚合组内受保护资源的所有流量。如果您有许多资源,每个资源都有少量流量,但聚合量很大,则此功能非常有用。对于在受保护资源之间传输流量的蓝绿部署,您也可以使用保护组来保留应用程序基准。
您可以选择通过以下一种方式聚合保护组中的流量:
+ **总计**:此聚合将合并保护组中所有资源间的流量。您可以使用此聚合来确保新创建的资源具有现有基准并降低检测敏感度,这有助于防止误报。
+ **平均值**:此聚合使用保护组中所有流量的平均值。您可以将此聚合用于资源间流量均匀的应用程序,例如负载均衡器。
+ **最大**:该聚合使用保护组中任何资源的最高流量。当一个保护组中有多个应用程序层时,您可以使用此聚合。例如,您的保护组可能包括 CloudFront 分配、其应用程序负载均衡器来源和应用程序负载均衡器的 Amazon EC2 实例目标。
对于针对多个面向互联网的 Elast IPs ic 或标准加速器的攻击,您还可以使用保护组来提高 Shield Advanced 设置缓解措施的速度。 AWS Global Accelerator 当保护组中的一个资源成为目标时,Shield Advanced 会建立对该组中其他资源的信心。这会使 Shield Advanced 检测处于警戒状态,并可以缩短创建额外缓解措施所需的时间。
要详细了解保护组,请参阅 [对您的 AWS Shield Advanced 保护进行分组](ddos-protection-groups.md)。
# 如何 AWS Shield 缓解事件
本页介绍 AWS Shield 事件缓解的工作原理。
保护应用程序的缓解逻辑可能因应用程序架构而异。当您使用 Amazon CloudFront 和 Amazon Route 53 保护网络应用程序时,您将受益于特定于 Web 和 DNS 用例的缓解措施,这些缓解措施可以保护服务的所有流量。当您的应用程序的入口点是在某个 AWS 区域中运行的资源时,缓解逻辑会因服务、资源类型和您的使用情况而异 AWS Shield Advanced。
AWS DDoS 缓解系统由 Shield 工程师开发,它们与 AWS 服务紧密集成。工程师会考虑架构的各个方面,例如目标资源的容量和运行状况。Shield 工程师持续监控 DDo S 缓解系统的功效和性能,并能够在发现或预计到新的威胁时快速做出反应。
您可以设计您的应用程序,使其能够根据流量或负载的增加进行扩展,从而帮助确保它不会受到较小的请求泛洪的影响。如果您使用 Shield Advanced 来保护您的资源,则可以防止 DDo S 攻击可能导致云账单意外增加。
**基础设施缓解**
对于基础设施层攻击, AWS Shield DDoS 缓解系统存在于 AWS 网络边界和边 AWS 缘位置。在整个 AWS 基础架构中放置多个级别的安全控制 defense-in-depth可为您的云应用程序提供支持。
Shield 在所有来自互联网的入口点维护 DDo S 缓解系统。当 Shield 检测到 DDo S 攻击时,对于每个入口点,它都会通过位于相同位置的 DDo S 缓解系统重新路由流量。这不会带来任何可观察到的额外延迟,并且在所有 AWS 区域和所有边缘位置提供了超过 TeraBits 每秒 100 (Tbps) 的缓解能力。Shield 可以保护您的资源可用性,而无需将流量重新路由到外部或远程清理中心,这可能会增加延迟。
+ 在 AWS 网络边界,对于任何 AWS 服务或资源, DDoS 缓解系统可以缓解来自互联网的基础设施层攻击。当 Shield Response Team (SRT) 的工程师发出信号时,系统会执行缓解措施。
+ 在 AWS 边缘位置, DDoS 缓解系统会持续检查转发到亚马逊 CloudFront 分配和 Amazon Route 53 托管区域的每个数据包,无论其来源如何。必要时,系统会应用专为 Web 和 DNS 流量设计的缓解措施。使用 Amazon CloudFront 和 Amazon Route 53 保护您的 Web 应用程序的另一个好处是, DDoS 攻击可以立即得到缓解,而无需发出 Shield 检测信号。
**应用程序层缓解措施**
Shield Advanced 为启用了 Shield Advanced 保护的亚马逊 CloudFront 分配和应用程序负载均衡器提供 Web 应用程序层缓解措施。启用保护后,可以将 AWS WAF Web ACL 与资源关联,以启用 Web 应用程序层检测。此外,您可以选择启用自动应用层缓解,这会指示 Shield Advanced 在 DDo S 攻击期间为您管理保护。
Shield 仅提供针对您启用了 Shield Advanced 和自动应用程序层缓解功能的资源的应用程序层攻击的自定义缓解措施。通过自动缓解,Shield Advanced 对来自已知 DDo S 源的请求强制执行 AWS WAF 速率限制,并自动添加和管理自定义 AWS WAF 保护以应对检测到的 DDo S 攻击。有关此类缓解措施的详细信息,请参阅 [Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
Web ACL 中基于速率的规则,无论是您添加还是由 Shield Advanced 自动应用程序层缓解功能添加,都可以在攻击达到可检测级别之前对其进行缓解。有关检测的更多信息,请参阅 [应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑](ddos-event-detection-application.md)。
**Topics**
+ [AWS Shield DDoS 缓解功能列表](ddos-event-mitigation-features.md)
+ [AWS Shield CloudFront 和 Route 53 的缓解逻辑](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield AWS 区域的缓解逻辑](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield AWS Global Accelerator 标准加速器的缓解逻辑](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced 弹性的缓解逻辑 IPs](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced Web 应用程序的缓解逻辑](ddos-event-mitigation-logic-adv-web-app.md)
# AWS Shield DDoS 缓解功能列表
AWS Shield DDoS 缓解措施的主要特点如下:
+ **数据包验证**:可确保每个被检查的数据包都符合预期的结构,并且对其协议有效。支持的协议验证包括 IP、TCP(包括标头和选项)、UDP、ICMP、DNS 和 NTP。
+ **访问控制列表 (ACLs) 和 shapers** — ACL 根据特定属性评估流量,要么丢弃匹配的流量,要么将其映射到整形器。整形器限制匹配流量的数据包速率,丢弃多余的数据包以容纳到达目的地的容量。 AWS Shield detection 和 Shield Response Team (SRT) 工程师可以为预期流量提供专用的速率分配,并对属性与已知 DDo S 攻击向量匹配的流量进行更严格的速率分配。ACL 可以匹配的属性包括端口、协议、TCP 标志、目标地址、来源国家和数据包负载中的任意模式。
+ **怀疑评分**:这利用 Shield 对预期流量的了解来对每个数据包进行分数。与已知良好流量模式更接近的数据包会被赋予较低的可疑分数。观察已知的不良流量属性可能会增加数据包的可疑分数。当需要对数据包进行速率限制时,Shield 会先丢弃可疑分数较高的数据包。这有助于 Shield 缓解已知和未修补 DDo的 S 攻击,同时避免误报。
+ **TCP SYN 代理**:它通过发送 TCP SYN Cookie 来挑战新连接,然后再允许它们传递到受保护的服务,从而防止 TCP SYN 泛洪。Shield DDo S 缓解措施提供的 TCP SYN 代理是无状态的,这使其能够在不达到状态耗尽的情况下缓解已知最大的 TCP SYN 洪水攻击。这是通过与 AWS 服务集成以移交连接状态来实现的,而不是在客户端和受保护的服务之间维护持续的代理。TCP SYN 代理目前在亚马逊 CloudFront 和亚马逊 Route 53 上可用。
+ **速率分布**:这会根据流向受保护资源的流量的入口模式不断调整每个位置的整形器值。这样可以防止对可能无法均匀进入 AWS 网络的客户流量进行速率限制。
# AWS Shield CloudFront 和 Route 53 的缓解逻辑
本页介绍了 Shield DDo S 缓解措施如何持续检查 53 号公路 CloudFront 的流量。这些服务通过遍布全球的 AWS 边缘站点网络运行,使您可以广泛访问Shield的 DDo S缓解能力,并从离最终用户更近的基础设施中交付应用程序。
**重要**
AWS Shield Advanced 不支持 CloudFront 租户。
+ **CloudFront**— Shield DDo S 缓解措施仅允许对 Web 应用程序有效的流量通过该服务。这可以自动防范许多常见的 DDo S 向量,例如 UDP 反射攻击。
CloudFront 保持与应用程序来源的持续连接,通过与 Shield TCP SYN 代理功能集成,TCP SYN 洪水会自动缓解,传输层安全 (TLS) 在边缘终止。这些组合功能可确保您的应用程序源仅接收格式正确的 Web 请求,并保护其免受低层 DDo S 攻击、连接洪水和 TLS 滥用的侵害。
CloudFront 结合使用 DNS 流量方向和任播路由。这些技术通过缓解靠近源头的攻击,提供故障隔离以及确保访问容量以缓解已知最大规模的攻击,从而提高应用程序的弹性。
+ **Route 53**:Shield 缓解措施仅允许有效的 DNS 请求到达服务。Shield 使用可疑评分来缓解 DNS 查询洪水,该评分优先考虑已知良好的查询,并降低包含可疑或已知 S 攻击属性的查询的优先级。 DDo
Route 53 使用随机分片为每个托管区域提供一组唯一的四个解析器 IP 地址,用于和。 IPv4 IPv6每个 IP 地址对应于 Route 53 位置的不同子集。每个位置子集都由权威 DNS 服务器组成,这些服务器仅与任何其他子集中的基础设施部分重叠。这样可以确保如果用户查询因任何原因失败,则在重试时将成功提供该查询。
Route 53 使用任播路由,根据网络邻近程度,将 DNS 查询定向到最近的边缘站点。Anycast 还 DDo将 S 流量分散到许多边缘位置,从而防止攻击集中在单个位置。
除了缓解速度外, CloudFront 53号公路还为Shield的全球分布容量提供了广泛的访问权限。要利用这些功能,请将这些服务用作动态或静态 web 应用程序的入口点。
要了解有关使用 CloudFront 和 Route 53 保护 Web 应用程序的更多信息,请参阅[如何使用 Amazon CloudFront 和 Amazon Route 53 帮助保护动态 Web 应用程序免受 DDo S 攻击](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/)。要了解有关 Route 53 故障隔离的更多信息,请参阅[全局故障隔离案例研究](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/)。
# AWS Shield AWS 区域的缓解逻辑
本页介绍了 Shield 事件缓解逻辑在 AWS 区域中的工作原理。
在 AWS 区域中启动的资源受到 Shield 资源级检测放置的 AWS Shield DDo S 缓解系统的保护。区域资源包括 Elastic IPs (EIPs)、经典负载均衡器和应用程序负载均衡器。
在设置缓解措施之前,Shield 会识别目标资源及其容量。Shield 使用容量来确定其缓解措施应允许转发到资源的最大总流量。访问控制列表 (ACLs) 和缓解措施中的其他整形器可能会减少某些流量的允许流量,例如与已知的 DDo S 攻击向量匹配或预计不会出现大量流量的流量。这进一步限制了缓解措施允许进行 UDP 反射攻击或具有 TCP SYN 或 FIN 标志的 TCP 流量所允许的流量。
Shield 会根据每种资源类型确定容量和缓解措施。
+ 对于 Amazon EC2 实例或附加到 Amazon EC2 实例的 EIP,Shield 会根据实例类型和其他实例属性(例如该实例是否启用了增强联网功能)来计算容量。
+ 对于应用程序负载均衡器或 Classic Load Balancer,Shield 会单独计算负载均衡器中每个目标节点的容量。 DDo这些资源的攻击缓解措施结合了 Shield DDo S 缓解措施和负载均衡器的自动扩展。当 Shield Response Team 对应用程序负载均衡器或经典负载均衡器资源进行攻击时,作为一项额外的保护措施,他们可能会加速扩展。
+ Shield 根据底层 AWS 基础设施的可用容量计算某些 AWS 资源的容量。这些资源类型包括网络负载均衡器 (NLBs) 和通过网关负载均衡器或路由流量的资源。 AWS Network Firewall
**注意**
通过连接 EIPs 受 Shield Advanced 保护的网络负载均衡器来保护您的网络负载均衡器。您可以与 SRT 合作,根据底层应用程序的预期流量和容量构建自定义缓解措施。
当 Shield 设置缓解时,Shield 在缓解逻辑中定义的初始速率限制将平等地应用于每个 Shield DDo S 缓解系统。例如,如果 Shield 将缓解措施设定为每秒 100,000 个数据包 (pps) 的限制,则它最初将允许在每个位置使用 100,000 pps。然后,Shield 会持续汇总缓解指标以确定实际流量比率,并使用该比率来调整每个位置的速率限制。这样可以防止误报,并确保缓解措施不会过于宽松。
# AWS Shield AWS Global Accelerator 标准加速器的缓解逻辑
本页介绍了 Shield 事件缓解逻辑如何适用于 AWS Global Accelerator 标准加速器。Shield Advanced 缓解措施将只允许有效的流量到达 Global Accelerator 标准加速器的侦听器端点。
标准加速器在全球范围内部署,它们为您提供 IP 地址,您可以使用这些地址将流量路由到任何 AWS 地区的 AWS 资源。Shield 为缓解全局加速器而实施的速率限制基于标准加速器将流量路由到的资源容量。当总流量超过确定的速率时,以及已知的 DDo S 向量超过该速率的一小部分时,Shield 也会采取缓解措施。
配置标准加速器时,您需要为每个 AWS 区域定义端点组,您将在其中为应用程序路由流量。当 Shield 放置缓解措施时,它会计算每个端点组的容量,并相应地更新每个 Shield DDo S 缓解系统的速率限制。根据Shield对流量将如何从互联网路由到您的 AWS 资源的假设,每个位置的费率各不相同。端点组的容量计算方法是组中的资源数量乘以组中任何资源的最低容量。Shield 会定期重新计算应用程序的容量,并根据需要更新速率限制。
**注意**
使用流量拨号来更改定向到端点组的流量百分比不会改变 Shield 计算速率限制或向其 DDo S 缓解系统分配速率限制的方式。如果您使用流量拨号,请将您的端点组配置为在资源类型和数量方面相互镜像。这有助于确保 Shield 计算出的容量代表为您的应用程序提供流量的资源。
有关全局加速器中的端点组和流量拨号的更多信息,请参阅 [AWS Global Accelerator 标准加速器中的端点组](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html)。
# AWS Shield Advanced 弹性的缓解逻辑 IPs
本页介绍了 Shield 事件缓解逻辑如何适用于 Elast IPs ic AWS Shield Advanced。当你使用保护弹性 IP (EIP) 时 AWS Shield Advanced,Shield Advanced 会增强 Shield 在 S 事件期间施加的缓解措施。 DDo
Shield Advanced DDo S 缓解系统会复制与 EIP 关联的公有子网的网络 ACL (NACL) 配置。例如,如果您的 NACL 配置为阻止所有 UDP 流量,Shield Advanced 会将该规则合并到 Shield 放置的缓解措施中。
这项附加功能可以帮助您避免由于流量对您的应用程序无效而导致的可用性风险。您还可以使用 NACLs 屏蔽单个源 IP 地址或源 IP 地址 CIDR 范围。对于未分发的 DDo S 攻击,这可能是一个有用的缓解工具。它还允许您轻松管理自己的允许列表或屏蔽不应与您的应用程序通信的 IP 地址,而无需依赖 AWS 工程师的干预。
# AWS Shield Advanced Web 应用程序的缓解逻辑
AWS Shield Advanced AWS WAF 用于缓解 Web 应用程序层攻击。 AWS WAF 包含在 Shield Advanced 中,无需额外付费。
**标准应用程序层保护**
使用 Shield Advanced 保护亚马逊 CloudFront 分配或应用程序负载均衡器时,如果尚未关联 AWS WAF 网络 ACL,则可以使用 Shield Advanced 将网络 ACL 与受保护的资源相关联。如果您尚未配置 Web ACL,则可以使用 Shield Advanced 控制台向导创建一个,然后向其添加基于速率的规则。基于速率的规则限制了每个 IP 地址每五分钟时间窗口的请求数,从而提供了防止 Web 应用程序层请求泛洪的基本保护。您可以配置速率,起始速率低至 10。有关更多信息,请参阅 [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。
您也可以使用该 AWS WAF 服务来管理 Web ACL。通过 AWS WAF,您可以扩展 Web ACL 配置以执行诸如检查特定 Web 请求组件的字符串匹配或模式、添加自定义请求和响应处理以及与请求源的地理位置进行匹配等操作。有关 AWS WAF 规则的更多信息,请参阅[AWS WAF 规则](waf-rules.md)。
**自动应用程序层缓解**
要增强保护,请启用 Shield Advanced 自动应用程序层缓解。使用此选项,Shield Advanced 会为来自已知 DDo S 源的请求维护 AWS WAF 速率限制规则,并为检测到的 DDo S 攻击提供自定义缓解措施。
当 Shield Advanced 检测到针对受保护资源的攻击时,它会尝试识别攻击特征,将攻击流量与流向应用程序的正常流量隔离开来。Shield Advanced 会根据受到攻击的资源以及与同一 Web ACL 关联的任何其他资源的历史流量模式评估已识别的攻击特征。
如果 Shield Advanced 确定攻击特征码仅隔离 DDo S 攻击中涉及的流量,则它会在关联的 Web ACL 中的 AWS WAF 规则中实现该签名。您可以指示 Shield Advanced 设置缓解措施,这些缓解措施只计算与之匹配的流量,或者阻止流量,您可以随时更改设置。当 Shield Advanced 确定不再需要其缓解规则时,它会将其从 Web ACL 中删除。有关应用程序层事件缓解的更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
有关 Shield Advanced 应用程序层缓解的更多信息,请参阅 [使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF](ddos-app-layer-protections.md)。
# 使用 Shield Advanced 构建基本的 DDo S 弹性架构
本页介绍分布式拒绝服务 (DDoS) 弹性,并介绍两个示例架构。
DDoS 弹性是指您的应用程序架构能够承受 DDo S 攻击,同时继续为合法的最终用户提供服务。高弹性的应用程序可以在攻击期间保持可用,且错误或延迟等性能指标受到的影响最小。本节显示了一些常见的示例架构,并描述了如何使用和 Shield Advanced 提供的 DDo S 检测 AWS 和缓解功能来提高其 DDo S 弹性。
本节中的示例架构重点介绍可为您部署的应用程序提供最大的 DDo S 弹性优势的 AWS 服务。重点介绍的服务具有以下优势:
+ **访问全球分布的网络容量** — Amazon CloudFront AWS Global Accelerator、和 Amazon Route 53 服务为您提供访问互联网和跨 AWS 全球边缘网络的 DDo S 缓解能力。这对于缓解规模可能达到 TB 的较大容量攻击非常有用。您可以在任何 AWS 地区运行您的应用程序,并使用这些服务来保护合法用户的可用性并优化性能。
+ **防御 Web 应用程序第 DDo S 层攻击向量** — 最好使用应用程序规模和 Web 应用程序防火墙 (WAF) 的组合来缓解 Web 应用程序第 DDo S 层攻击。Shield Advanced 使用来自的 Web 请求检查日志 AWS WAF 来检测异常情况,这些异常可以自动缓解,也可以通过与 AWS 盾牌响应小组 (SRT) 合作来缓解。可通过部署的 AWS WAF 基于速率的规则以及 Shield Advanced 自动应用层 DDo S 缓解来实现自动缓解。
除了查看这些示例外,还要查看并遵循 [ DDoS Resiliency AWS 最佳实践中的适用最佳实践。](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)
**Topics**
+ [适用于常见 Web 应用程序的 Shield Advanced DDo S 弹性架构示例](ddos-resiliency-example-web.md)
+ [适用于 TCP 和 UDP 应用程序的 Shield Advanced DDo S 弹性架构示例](ddos-resiliency-example-tcp-udp.md)
# 适用于常见 Web 应用程序的 Shield Advanced DDo S 弹性架构示例
本页提供了一个示例架构,用于最大限度地提高抵御 AWS Web 应用程序 DDo的 S 攻击的弹性。
您可以在任何 AWS 区域构建 Web 应用程序,并从该区域 AWS 提供的检测和缓解功能中获得自动 DDo S 保护。
此示例适用于使用经典负载均衡器、应用程序负载均衡器、网络负载均衡器、 AWS Marketplace 解决方案或您自己的代理层等资源将用户路由到 Web 应用程序的架构。您可以通过在这些网络应用程序资源和您的用户 ACLs 之间插入 Amazon Route 53 托管区域、Amazon CloudFront 分配和 AWS WAF Web 来提高 DDo S 弹性。这些插入可以混淆应用程序来源,在离最终用户更近的地方提供请求,并检测和缓解应用程序层请求泛洪。使用 CloudFront 和 Route 53 向用户提供静态或动态内容的应用程序受到集成的、完全内联的 DDo S 缓解系统的保护,该系统可以实时缓解基础设施层的攻击。
这些架构改进到位后,您可以使用 Shield Advanced 保护您的 Route 53 托管区域和 CloudFront 分配。保护 CloudFront 分发时,Shield Advanced 会提示您关联 AWS WAF Web ACLs 并为其创建基于速率的规则,并允许您选择启用自动应用层 DDo S 缓解或主动参与。主动参与和自动应用层 DDo S 缓解使用您与资源关联的 Route 53 运行状况检查。要了解有关这些选项的更多信息,请参阅 [中的资源保护 AWS Shield Advanced](ddos-resource-protections.md)。
以下参考图描述了 Web 应用程序的 DDo S 弹性架构。
![\[该图显示了一个标题为 AWS cloud 的矩形,其左边有一组用户。云矩形内部还有另外两个并排的矩形。左边的矩形标题为 AWS Shield Advanced,右边的矩形标题为 VPC。左边的 AWS Shield Advanced 三角形包含三个垂直堆叠的 AWS 图标。图标从上到下依次是 Amazon Route 53 CloudFront、Amazon 和 AWS WAF。的图标上 CloudFront 有指向和从图标出发的箭头 AWS WAF。用户组的右侧有一个水平伸出的箭头,该箭头会分开以指向 Route 53 和。 CloudFront在 Shield Advanced 矩形的右侧,VPC 矩形包含两个并排的图标。这些图标从左到右分别是 Elastic Load Balancing 和 Amazon Elastic Compute Cloud。该 CloudFront 图标的右侧有一个水平向外伸出的箭头,指向 Elastic Load Balancing 图标。Elastic Load Balancing 图标的右侧有一个横向伸出的箭头,指向 Amazon EC2 图标。因此,用户请求被发送到 Route 53 和 CloudFront。 CloudFront 与负载均衡器交互 AWS WAF 并将请求发送到负载均衡器,然后负载均衡器在 Amazon EC2 上发送请求。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)
这种方法为您的 Web 应用程序带来的好处有:
+ 防范经常使用的基础设施层(第 3 层和DDo第 4 层)的攻击,而不会出现检测延迟。此外,如果资源经常成为攻击目标,Shield Advanced 会将缓解措施放置更长时间。Shield Advanced 还使用从网络 ACLs (NACLs) 推断出的应用程序上下文来阻止上游的不需要的流量。这样可以将故障隔离在更靠近其来源的地方,从而最大限度地减少对合法用户的影响。
+ 针对 TCP SYN 泛洪的防护。与 CloudFront Route 53 集成的 DDo S 缓解系统 AWS Global Accelerator 提供了 TCP SYN 代理功能,可以挑战新的连接尝试,并且仅为合法用户提供服务。
+ 针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。
+ 针对 Web 应用程序层请求泛洪的防护。您在 AWS WAF Web ACL 中配置的基于速率的规则在源发送的请求超出规则允许的数量 IPs 时将其阻止。
+ 如果您选择启用此选项,则可为您的 CloudFront 发行版自动缓解应用层 DDo S。通过自动 DDo S 缓解,Shield Advanced 在发行版的关联 AWS WAF Web ACL 中维护基于速率的规则,该规则限制了来自已知 DDo S 源的请求量。此外,当 Shield Advanced 检测到影响应用程序运行状况的事件时,它会自动在 Web ACL 中创建、测试和管理缓解规则。
+ 与 Shield 响应小组 (SRT) 主动交互(如果您选择启用此选项)。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。SRT 会分析您的流量模式,并可以更新您的 AWS WAF 规则以阻止攻击。
# 适用于 TCP 和 UDP 应用程序的 Shield Advanced DDo S 弹性架构示例
此示例显示了使用亚马逊弹性计算云 (Amazon EC2) 实例或弹性 IP (EIP) 地址的 AWS 区域内的 TCP 和 UDP 应用程序的 DDo S 弹性架构。
您可以按照此一般示例来提高以下应用程序类型的 DDo S 弹性:
+ TCP 或 UDP 应用程序。例如,用于游戏、物联网和 IP 语音的应用程序。
+ 需要静态 IP 地址或使用 Amazon CloudFront 不支持的协议的 Web 应用程序。例如,您的应用程序可能需要用户可以添加到其防火墙允许列表的 IP 地址,而这些地址不会被任何其他 AWS 客户使用。
您可以通过引入 Amazon Route 53 和 AWS Global Accelerator,提高这些应用程序类型的 DDo S 弹性。这些服务可以将用户路由到您的应用程序,并且可以为您的应用程序提供通过 AWS 全局边缘网络进行任播路由的静态 IP 地址。Global Accelerator 标准加速器可以将用户延迟缩短多达 60%。如果您有 Web 应用程序,则可以通过在应用程序负载均衡器上运行该应用程序,然后使用 Web ACL 保护应用程序负载均衡器来检测和缓解 AWS WAF Web 应用程序层请求洪水。
构建应用程序后,使用 Shield Advanced 保护您的 Route 53 托管区域、Global Accelerator 标准加速器和任何应用程序负载均衡器。保护应用程序负载均衡器时,可以关联 AWS WAF Web ACLs 并为其创建基于速率的规则。通过关联新的或现有的 Route 53 运行状况检查,您可以为 Global Accelerator 标准加速器和应用程序负载均衡器配置与 SRT 的主动互动。要了解有关这些选项的更多信息,请参阅 [中的资源保护 AWS Shield Advanced](ddos-resource-protections.md)。
以下参考图描绘了 TCP 和 UDP 应用程序的 DDo S 弹性架构示例。
![\[该图显示了连接到 Route 53 和的用户 AWS Global Accelerator。加速器连接到受 AWS Shield Advanced 和保护的 Elastic Load Balancing 图标 AWS WAF。Elastic Load Balancing 本身已连接到 Amazon EC2 实例。此 Elastic Load Balancing 实例和 Amazon EC2 实例位于区域 1。还直接连接到另一个 Amazon EC2 实例,该实例不在受保护的 Elastic Load Balancing 实例之后。 AWS Global Accelerator 第二个 Amazon EC2 实例位于区域 n。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)
这种方法为您的应用程序带来的好处有:
+ 防范已知最大的基础设施层(第 3 层和第 4 层) DDo的攻击。如果攻击量导致上游的拥塞 AWS,则故障将在离其来源更近的地方隔离,并最大限度地减少对合法用户的影响。
+ 针对 DNS 应用程序层攻击的防护,因为 Route 53 负责提供权威的 DNS 响应。
+ 如果您有 Web 应用程序,则此方法可以防止 Web 应用程序层请求泛洪。您在 AWS WAF Web ACL 中配置的基于速率的规则会阻止来源, IPs 而这些源发送的请求超出了规则允许的数量。
+ 与 Shield 响应小组 (SRT) 主动交互,如果您选择为符合条件的资源启用此选项。当 Shield Advanced 检测到影响应用程序运行状况的事件时,SRT 会做出响应,并使用您提供的联系信息主动与您的安全或运营团队互动。
# 将 Shield Advanced 与其他盾 AWS 服务
您可以在许多类型的场景中使用 Shield Advanced 保护您的资源。但是,在某些情况下,您应使用其他服务或将其他服务与 Shield Advanced 结合使用以提供最佳保护。以下是如何使用 Shield Advanced 或其他 AWS 服务来帮助保护您的资源的示例。
| Goal | 推荐的服务 | 相关服务文档 |
| --- | --- | --- |
| 保护 Web 应用程序和 DDo S RESTful APIs 攻击 | Shield Advanced 保护亚马逊 CloudFront 分发和应用程序负载均衡器 | [Elastic Load Balancing 文档](https://docs.aws.amazon.com/elasticloadbalancing/)、[亚马逊 CloudFront 文档](https://docs.aws.amazon.com/cloudfront/) |
| 保护基于 TCP 的应用程序免受 S 攻击 DDo | Shield Advanced 保护 AWS Global Accelerator 标准加速器;连接到弹性 IP 地址 | [AWS Global Accelerator 文档](https://docs.aws.amazon.com/global-accelerator/),[Elastic Load Balancing 文档](https://docs.aws.amazon.com/elasticloadbalancing/) |
| 保护基于 UDP 的游戏服务器免受 S 攻击 DDo | Shield Advanced 保护连接到弹性 IP 地址的亚马逊 EC2 实例 | [Amazon Elastic Compute Cloud 文档](https://docs.aws.amazon.com/ec2/) |
例如,如果您使用 Shield Advanced 来保护弹性 IP 地址,Shield Advanced 会保护与其关联的任何资源。攻击期间,Shield Advanced 会自动将您的网络部署 ACLs 到 AWS 网络边界。当您的网络 ACLs 处于网络边界时,Shield Advanced 可以针对较大的 DDo S 事件提供保护。通常,网络应用 ACLs 于您的亚马逊 VPC 内的亚马逊 EC2 实例附近。网络 ACL 只能缓解您的 Amazon VPC 和实例可以处理的攻击。如果连接到 Amazon EC2 实例的网络接口可以处理高达 10 Gbps 的速度,则超过 10 Gbps 的卷速度会减慢,并可能阻塞该实例的流量。在攻击期间,Shield Advanced 会将您的网络 ACL 提升至 AWS 边界以处理多个 TB 的流量。您的网络 ACL 能够为您的资源提供超出您的网络典型容量的保护。有关网络的更多信息 ACLs,请参阅[网络ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
# 设置 AWS Shield Advanced
本教程将引导你开始 AWS Shield Advanced 使用 Shield Advanced 控制台。
**注意**
Shield Advanced 需要订阅,但 AWS Shield Standard 不需要。Shield Standard 提供的保护对所有 AWS 客户都是免费的。
Shield Advanced 为网络层(第 3 层)、传输层(第 4 层)和应用层(第 7 层)攻击提供高级 DDo S 检测和缓解保护。有关 Shield Advanced 的更多信息,请参阅 [AWS Shield Advanced 概览](ddos-advanced-summary.md)。
AWS 技术社区发布了一个使用基础架构即代码 (IaC) 工具 AWS CloudFormation 和 Terraform 配置 Shield Advanced 的自动流程示例。如果您的账户属于某个组织, AWS Organizations 并且您要保护除了 Amazon Route 53 或之外的任何资源类型,则可以使用 AWS Firewall Manager 此解决方案 AWS Global Accelerator。[要探索此选项,请参阅 [aws-samples /- aws-shield-advanced-one click-deployment 中的代码库和一键部署](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) Shield Advanced 中的教程。](https://youtu.be/LCA3FwMk_QE)
**注意**
在分布式拒绝服务 (DDoS) 事件发生之前,必须完全配置 Shield Advanced。完成配置以帮助确保您的应用程序受到保护,并且在应用程序受到 DDo S 攻击影响时您已准备好做出响应。
按顺序执行以下步骤,开始使用 Shield Advanced。
**Contents**
+ [正在订阅 AWS Shield Advanced](enable-ddos-prem.md)
+ [使用 Shield Advanced 添加和配置资源保护](ddos-choose-resources.md)
+ [使用配置应用层(第 7 层) DDo保护 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [为 Shield Advanced 和 Route 53 保护配置运行状况检测](ddos-get-started-health-checks.md)
+ [使用 Shield Advanced 和 Amazon SNS 配置警报和通知](ddos-get-started-create-alarms.md)
+ [在 Shield Advanced 中查看并完成您的保护配置](ddos-get-started-review-and-configure.md)
+ [设置 AWS Shield 响应小组 (SRT) 支持 DDo S 事件响应](authorize-srt.md)
+ [在中创建 DDo S 仪表板 CloudWatch 并设置 CloudWatch 警报](deploy-waf-dashboard.md)
# 正在订阅 AWS Shield Advanced
本页介绍了如何为您的账户订阅 Shield Advanced,以开始使用该服务。
你必须为每个 AWS 账户 想要保护的物品订阅 Shield Advanced。您无需订阅 Shield Standard。
**Shield Advanced 订阅账单**
如果您是 AWS 渠道经销商,请咨询您的客户团队以获取信息和指导。此账单信息适用于非 AWS 渠道经销商的客户。
对于所有其他订阅和计费指南,则适用以下订阅和计费指南:
+ 对于属于 AWS Organizations 组织成员的账户,无论付款人账户本身是否已订阅,都要从该组织的付款人账户中扣除 Shield Advanced 订阅 AWS 费用。
+ 当您订阅属于同一个[AWS Organizations 整合账单账户系列](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多个账户时,该系列中所有已订阅的账户适用一个订阅价格。组织必须拥有其所有 AWS 账户 和所有资源。
+ 当您为多个组织订阅多个账户时,如果您拥有所有组织、账户和资源,您可以用一笔订阅费支付所有组织、账户和资源的费用。请联系您的客户经理或 AWS 支持人员,申请免除其中一个组织以外的所有组织的 AWS Shield Advanced 订阅费用。
有关定价信息和示例的详细信息,请参阅 [AWS Shield 定价](https://aws.amazon.com/shield/pricing/)。
**考虑使用以下方法简化订阅 AWS Firewall Manager**
如果您的账户属于某个组织,我们建议您尽可能使用 AWS Firewall Manager 进行自动订阅并为该组织提供自动保护。Firewall Manager 支持除了 Amazon Route 53 和 AWS Global Accelerator之外的所有受保护资源类型。如需使用 Firewall Manager,请参阅 [AWS Firewall Manager](fms-chapter.md) 和 [设置 AWS Firewall Manager AWS Shield Advanced 策略](getting-started-fms-shield.md)。
如果不使用 Firewall Manager,请针对每个需要保护资源的账户,使用以下步骤进行订阅和添加保护。
**订阅账户 AWS Shield Advanced**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 **AWS Shield** 导航栏中,选择**开始**。选择**订阅 Shield Advanced**。
1. 在**订阅 Shield Advanced** 页面中,阅读协议的每个条款,然后选中所有复选框以表示您接受这些条款。对于整合账单系列中的账户,您必须同意每个账户的条款。
**重要**
订阅后,如需取消订阅,您必须联系 [AWS 支持](https://console.aws.amazon.com/support)。
要禁用订阅的自动续订,您必须使用 Shield API 操作[UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html)或 CLI 命令[更新](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)订阅。
选择**订阅 Shield Advanced**。这将使您的账户订阅 Shield Advanced 并激活该服务。
您的账户已订阅。继续执行以下步骤,使用 Shield Advanced 保护您账户的资源。
**注意**
Shield Advanced 不会在您订阅后自动保护您的资源。您必须指定希望 Shield Advanced 保护的资源。
# 使用 Shield Advanced 添加和配置资源保护
本页提供了为资源添加和配置保护的说明。
Shield Advanced 仅保护您通过 Shield Advanced 或在 Firewall Manager Shield Advanced 策略中指定的资源。它不会自动保护订阅账户的资源。
**注意**
如果您使用 AWS Firewall Manager Shield Advanced 策略进行保护,则无需执行此步骤。您可以使用要保护的资源类型来配置策略,Firewall Manager 会自动为策略范围内的资源添加保护。
如果您不使用 Firewall Manager,请为每个需要保护资源的账户执行以下步骤。
**使用 Shield Advanced 选择要保护的资源**
1. 从先前步骤的订阅确认页面,或者从**受保护的资源**或**概述**页面中选择**添加要保护的资源**。
1. 在**选择要使用 Shield Advanced 保护的资源**页面的**指定区域和资源类型**中,提供要保护的资源的区域和资源类型规格。您可以通过选择**所有区域**来保护多个区域中的资源,也可以通过选择**全局**将选择范围缩小到全局资源。您可以取消选择任何不想保护的资源类型。有关您的资源类型保护的信息,请参阅 [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)。
1. 选择**加载资源**。Shield Advanced 会使用符合您条件的 AWS 资源填充**选择资源**部分。
1. 在**选择资源** 部分,您可以通过在资源列表中输入要搜索的字符串来筛选资源列表。
选择要保护的资源。
1. 在**标签**部分,如果要为正在创建的 Shield Advanced 保护添加标签,请指定这些标签。有关标记 AWS 资源的信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**使用 Shield Advanced 保护**。这为资源增加了 Shield Advanced 保护。
继续浏览控制台向导屏幕,完成资源保护的配置。
**Topics**
+ [使用配置应用层(第 7 层) DDo保护 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [为 Shield Advanced 和 Route 53 保护配置运行状况检测](ddos-get-started-health-checks.md)
+ [使用 Shield Advanced 和 Amazon SNS 配置警报和通知](ddos-get-started-create-alarms.md)
+ [在 Shield Advanced 中查看并完成您的保护配置](ddos-get-started-review-and-configure.md)
# 使用配置应用层(第 7 层) DDo保护 AWS WAF
本页提供使用 AWS WAF Web 配置应用层保护的说明 ACLs。
为了保护应用层资源,Shield Advanced 使用带有基于速率的规则的 AWS WAF Web ACL 作为起点。 AWS WAF 是一个 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。基于速率的规则根据您的请求聚合标准限制流量,从而为您的应用程序提供基本的 DDo S 保护。有关更多信息,请参阅[如何 AWS WAF 运作](how-aws-waf-works.md)和[在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
您还可以选择启用 Shield Advanced 自动应用层 DDo S 缓解,让来自已知 DDo S 来源的 Shield Advanced 速率限制请求,并自动为您提供针对特定事件的保护。
**重要**
如果您通过 AWS Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。必须在 Firewall Manager Shield Advanced 策略中对其进行管理。
**Shield 高级版订阅和 AWS WAF 费用**
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。
启用 Shield Advanced 自动应用层 DDo S 缓解会在您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。
有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
**为区域配置 DDo第 7 层保护**
Shield Advanced 允许您选择为所选资源所在的每个区域配置 7 DDo S 层缓解。如果您要在多个区域添加保护,则向导将引导您完成每个区域的以下步骤。
1. **配置 DDo第 7 层保护**页面列出了所有尚未与 Web ACL 关联的资源。对于每个资源,您可以选择现有 web ACL,活着创建一个新的 web ACL。对于任何已经关联的 Web ACL 的资源,您可以先 ACLs 通过取消关联当前的 Web ACL 来更改网页。 AWS WAF有关更多信息,请参阅 [将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。
对于 ACLs 还没有基于速率的规则的网站,配置向导会提示您添加一个规则。当 IP 地址发送大量请求时,基于速率的规则会限制来自这些地址的流量。基于速率的规则有助于保护您的应用程序免受 Web 请求泛滥的影响,并且可以提供有关可能表明潜在的 DDo S 攻击的流量突然激增的警报。选择**添加速率限制规则**,然后提供速率限制和规则操作,将基于速率的规则添加到 web ACL。您可以通过在 Web ACL 中配置其他保护 AWS WAF。
有关在 Shield Advanced 防护中使用网络 ACLs 和基于速率的规则(包括基于速率的规则的其他配置选项)的信息,请参阅。[使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)
1. 对于**自动缓解应用层 DDo S**,如果您想让 Shield Advanced 自动缓解针对您的应用层资源的 DDo S 攻击,请选择 “**启用**”,然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 AWS WAF 此设置适用于您在此向导会话中管理的资源的所有 Web ACLs 。
通过自动应用层 DDo S 缓解措施,Shield Advanced 在资源的 AWS WAF Web ACL 中维护了基于速率的规则,该规则限制了来自已知 DDo S 源的请求量。此外,Shield Advanced 会将当前流量模式与历史流量基线进行比较,以检测可能表明 DDo S 攻击的偏差。当 Shield Advanced 检测到 DDo S 攻击时,它会通过创建、评估和部署自定义 AWS WAF 规则来做出响应。您可以指定自定义规则是计数还是代表您阻止攻击。
**注意**
自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。
有关 Shield Advanced 自动应用层 DDo S 缓解措施的更多信息,包括使用此功能的注意事项和最佳实践,请参阅。[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)
1. 选择**下一步**。控制台向导将进入运行状况检测页面。
# 为 Shield Advanced 和 Route 53 保护配置运行状况检测
本页提供了如何配置 Shield Advanced 使用运行状况检测的说明。这有助于提高攻击检测和缓解的响应能力和准确性。
配置良好的运行状况检查对准确检测事件至关重要。您可以为除 Route 53 托管区域之外的任何资源类型配置运行状况检测。
要使用运行状况检测,应为 Route 53 中的资源定义运行状况检查,然后将运行状况检查与 Shield Advanced 保护关联起来。您配置的运行状况检查必须准确反映资源的运行状况,这一点很重要。有关配置运行状况检查以与 Shield Advanced 配合使用的信息和示例,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
Shield Response Team (SRT) 的主动参与支持需要进行运行状况检查。有关主动参与的信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
**注意**
将运行状况检查与 Shield Advanced 保护关联时,必须报告运行状况正常。
**配置运行状况检测**
1. 在 **关联运行状况检查** 下,选择要与保护关联的运行状况检查的 ID。
**注意**
如果您没有看到所需的运行状况检查,请转到 Route 53 控制台并验证运行状况检查及其 ID。有关信息,请参阅[创建和更新运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 选择**下一步**。控制台向导进入警报和通知页面。
# 使用 Shield Advanced 和 Amazon SNS 配置警报和通知
本页面提供了针对检测到的亚马逊 CloudWatch 警报和基于速率的规则活动的可选配置亚马逊简单通知服务通知的说明。当 Shield 在受保护的资源上检测到事件或超过基于速率的规则中配置的速率限制时,您可以使用它们来接收通知。
有关 Shield 高级 CloudWatch 指标的信息,请参阅[AWS Shield Advanced 指标](shield-metrics.md)。有关 Amazon SNS 的信息,请参阅 [Amazon Simple Notification Service 开发人员指南](https://docs.aws.amazon.com/sns/latest/dg/)。
**配置通知和警报**
1. 选择要通知的 Amazon SNS 主题。您可以为所有受保护的资源和基于速率的规则使用单个 Amazon SNS 主题,也可以选择针对您的组织定制的不同主题。例如,您可以为负责一组特定资源的事件响应的每个团队创建一个 SNS 主题。
1. 选择**下一步**。控制台向导进入资源保护查看页面。
# 在 Shield Advanced 中查看并完成您的保护配置
**查看并完成您的设置**
1. 在**查看和配置 DDo S 缓解和可见性**页面中,查看您的设置。要进行修改,请在要修改的区域中选择**编辑**。系统会带您返回到控制台向导中的关联页面。进行更改,然后在后续页面中选择 “**下一步**”,直到返回到 “**查看并配置 DDo S 缓解和可见性**” 页面。
1. 选择**完成配置**。**受保护的资源**页面列出了您新近受保护的资源。
# 设置 AWS Shield 响应小组 (SRT) 支持 DDo S 事件响应
本页提供了设置 Shield 响应小组(SRT)支持的说明。
SRT 包括专门研究 DDo S 事件响应的安全工程师。您可以选择添加权限,允许 SRT 在 DDo S 事件期间代表您管理资源。此外,您还可以对 SRT 进行配置,以便在检测到事件期间,如果与受保护资源相关的 Route 53 运行状况检查显示运行状况不佳,SRT 会主动与您联系。这两项新增的保护功能都可以更快地响应 DDo S 事件。
**注意**
要使用 Shield 响应小组(SRT)的服务,您必须订阅 [Business Support 计划](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。
SRT 可以在应用程序层事件期间监控 AWS WAF 请求数据和日志,以识别异常流量。他们可以帮助制定自定义 AWS WAF 规则,以减少违规流量来源。根据需要,SRT 可能会提出架构建议,以帮助您更好地将资源与 AWS 建议保持一致。
有关 SRT 的更多信息,请参阅 [支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应](ddos-srt-support.md)。
**授予使用 SRT 的权限**
1. 在 AWS Shield 控制台**概述**页面的**配置 AWS SRT 支持**下,选择**编辑 SRT** 访问权限。**编辑 AWS Shield 响应小组 (SRT) 访问**页面打开。
1. 对于 **SRT 访问设置**,请选择以下选项之一:
+ **不要授予 SRT 访问我的账户的权限**:Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。
+ **为 SRT 创建一个访问我的账户的新角色**:Shield 创建一个代表 SRT 的服务主体的角色 `drt.shield.amazonaws.com`,并将托管策略 `AWSShieldDRTAccessPolicy` 附加到该主体。托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用和访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息,请参阅 [AWS 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。
+ **选择一个现有角色让 SRT 访问我的账户** — 对于此选项,您必须按如下方式修改 AWS Identity and Access Management (IAM) 中角色的配置:
+ 将托管策略 `AWSShieldDRTAccessPolicy` 附加到角色。此托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用并访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息,请参阅 [AWS 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。有关如何将托管策略附加到角色的信息,请参阅[附加和分离 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ 修改角色以信任 `drt.shield.amazonaws.com` 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 [IAM JSON 策略元素:主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
1. 选择 **保存** 以保存您的更改。
有关授予 SRT 访问您的保护措施和数据的更多信息,请参阅 [向 SRT 授予访问权限](ddos-srt-access.md)。
**启用 SRT 主动参与**
1. 在 AWS Shield 控制台**概述**页面**的主动互动和联系人**下方的联系人区域中,选择**编辑**。
在**编辑联系人**页面中,提供您希望 SRT 主动联系的人员的联系信息。
如果您提供了多个联系人,请在**备注**中说明应分别在什么情况下与每个联系人联系。包括主要和次要联系人名称,并提供每位联系人的可用时间和时区。
联系人备注示例:
+ 这是一条全天候值班热线。请与作出回应的分析师合作,他们会转接相应人员。
+ 如果热线在 5 分钟内没有响应,请与我联系。
1. 选择**保存**。
**概述**页面反映了已更新的联系信息。
1. 选择**编辑主动互动功能**,选择**启用**,然后选择**保存**以启用主动互动。
有关主动参与的更多信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
# 在中创建 DDo S 仪表板 CloudWatch 并设置 CloudWatch 警报
本页提供有关在中创建 DDo S 仪表板 CloudWatch 和设置 CloudWatch 警报的说明。
您可以使用 Amazon 监控潜在的 DDo S 活动 CloudWatch,亚马逊会从 Shield Advanced 收集原始数据,并将其处理为可读的近乎实时的指标。您可以使用中的统计信息 CloudWatch 来了解您的 Web 应用程序或服务的性能。有关使用的更多信息 CloudWatch,请参阅《*Amazon CloudWatch 用户指南*》 CloudWatch中的[内容](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html)。
+ 有关创建 CloudWatch 仪表板的说明,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
+ 有关可添加到控制面板的 Shield Advanced 指标的说明,请参阅 [AWS Shield Advanced 指标](shield-metrics.md)。
Shield Advanced 在 DDo S 事件期间比没有事件进行时 CloudWatch 更频繁地报告资源指标。Shield Advanced 在活动期间每分钟报告一次指标,然后在活动结束后立即报告一次。在没有事件的情况下,Shield Advanced 会每天报告一次分配给指定资源的指标。此定期报告可保持指标处于活动状态,并可在您的自定义 CloudWatch 警报中使用。
Shield Advanced 入门教程到此结束。要充分利用您选择的保护功能,请继续探索 Shield Advanced 的功能和选项。首先,请熟悉在 [使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md) 和 [在中响应 DDo S 事件 AWS](ddos-responding.md) 查看和响应事件的选项。
# 支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应
本页描述了 Shield 响应小组 (SRT) 的职能。
SRT 为 Shield Advanced 客户提供额外支持。SRT 是专门研究 DDo S 事件响应的安全工程师。作为对 AWS 支持 计划的额外支持,您可以直接与 SRT 合作,将他们的专业知识应用到事件响应工作流程中。有关选项的信息以及配置指导,请参阅以下主题。
**注意**
要使用 Shield Response Team (SRT) 的服务,您必须订阅 [Business Support 计划](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。
Shield Response Team (SRT) 在提供 Shield Advanced 的地区以及 GovCloud 区域 AWS GovCloud (美国东部)和 AWS GovCloud (美国西部)的客户提供服务。
**SRT 支持活动**
与 SRT 合作的主要目标是保护应用程序的可用性和性能。根据 DDo S 事件的类型和应用程序的架构,SRT 可能会采取以下一项或多项操作:
+ **AWS WAF 日志分析和规则**-对于使用 AWS WAF Web ACL 的资源,SRT 可以分析您的 AWS WAF 日志,以识别应用程序 Web 请求中的攻击特征。在参与期间,经您批准后,SRT 可以对您的 Web ACL 进行更改,以阻止所发现的攻击。
+ **构建自定义网络缓解措施**:SRT 可以为您编写针对基础设施层攻击的自定义缓解措施。SRT 可以与您合作,了解应用程序的预期流量,阻止意外流量,并优化每秒数据包速率限制。有关更多信息,请参阅 [使用 SRT 设置针对 DDo S 攻击的自定义缓解措施](ddos-srt-custom-mitigations.md)。
+ **网络流量工程** — SRT 与 AWS 网络团队密切合作,保护 Shield Advanced 客户。必要时, AWS 可以更改互联网流量到达 AWS 网络的方式,以便为您的应用程序分配更多的缓解能力。
+ **架构建议** — SRT 可能会确定,攻击的最佳缓解措施需要更改架构以更好地与 AWS 最佳实践保持一致,他们将有助于支持您实施这些实践。有关信息,请参阅 [ DDoS 弹性AWS 最佳实践](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)。
以下各节提供了有关使用 SRT 的说明
**Topics**
+ [向 SRT 授予访问权限](ddos-srt-access.md)
+ [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)
+ [就疑似的 DDo S 事件联系 SRT 寻求帮助](ddos-srt-contacting.md)
+ [使用 SRT 设置针对 DDo S 攻击的自定义缓解措施](ddos-srt-custom-mitigations.md)
# 向 SRT 授予访问权限
本页说明如何授予 SRT 代表您行事的权限,以便他们可以访问您的 AWS WAF 日志、调 AWS WAF APIs 用 AWS Shield Advanced 和管理保护。
在应用层 DDo S 事件期间,SRT 可以监控 AWS WAF 请求以识别异常流量,并帮助制定自定义 AWS WAF 规则以缓解违规流量来源。
此外,您可以向 SRT 授予访问您存储在 Amazon S3 存储桶中的其他数据的权限,例如来自应用程序负载均衡器 CloudFront、Amazon 或第三方来源的数据包捕获或日志。
**注意**
要使用 Shield Response Team (SRT) 的服务,您必须订阅 [Business Support 计划](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。
**管理 SRT 的权限**
1. 在 AWS Shield 控制台**概述**页面的**配置 AWS SRT 支持**下,选择**编辑 SRT** 访问权限。**编辑 AWS Shield 响应小组 (SRT) 访问**页面打开。
1. 对于 **SRT 访问设置**,请选择以下选项之一:
+ **不要授予 SRT 访问我的账户的权限**:Shield 会删除您之前授予 SRT 访问您的账户和资源的任何权限。
+ **为 SRT 创建一个访问我的账户的新角色**:Shield 创建一个代表 SRT 的服务主体的角色 `drt.shield.amazonaws.com`,并将托管策略 `AWSShieldDRTAccessPolicy` 附加到该主体。托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用和访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息,请参阅 [AWS 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。
+ **选择一个现有角色让 SRT 访问我的账户** — 对于此选项,您必须按如下方式修改 AWS Identity and Access Management (IAM) 中角色的配置:
+ 将托管策略 `AWSShieldDRTAccessPolicy` 附加到角色。此托管策略允许 SRT 代表您拨 AWS WAF 打 API 调用并访问您的 AWS WAF 日志。 AWS Shield Advanced 有关托管策略的更多信息,请参阅 [AWS 托管策略: AWSShieldDRTAccess策略](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。有关如何将托管策略附加到角色的信息,请参阅[附加和分离 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ 修改角色以信任 `drt.shield.amazonaws.com` 服务主体。这是代表 SRT 的服务主体。有关更多信息,请参阅 [IAM JSON 策略元素:主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
1. 对于**(可选):授予 SRT 访问 Amazon S3 存储桶**的权限,如果您需要共享 AWS WAF Web ACL 日志中没有的数据,请进行此配置。例如,Application Load Balancer 访问 CloudFront 日志、Amazon 日志或来自第三方来源的日志。
**注意**
您无需为 AWS WAF Web ACL 日志执行此操作。当您授予账户访问权限时,SRT 将获得访问权限。
1. 根据以下准则配置 Amazon S3 存储桶:
+ 存储桶的位置必须与您在之前的步骤 **AWS Shield Response Team (SRT) 访问权限中授予 SRT** 一般访问权限的存储桶位置相同 AWS 账户 。
+ 存储桶可以是纯文本,也可以采用 SSE-S3 加密。有关 Amazon S3 SSE-S3 加密的更多信息,请参阅《Amazon S3 用户指南》中的[使用具有 Amazon S3 托管式加密密钥的服务器端加密 (SSE-S3) 保护数据](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。
SRT 无法查看或处理存储在使用存储在 AWS Key Management Service ()AWS KMS中的密钥加密的存储桶中的日志。
1. 在 Shield Advanced**(可选):授予 SRT 访问 Amazon S3 存储桶的权限**部分,对于存储您的数据或日志的每个 Amazon S3 存储桶,输入存储桶的名称并选择**添加存储桶**。您最多可以添加 10 个存储桶。
这将授予 SRT 对每个存储桶的以下权限:`s3:GetBucketLocation`、`s3:GetObject` 和 `s3:ListBucket`。
如果您想授予 SRT 访问超过 10 个存储桶的权限,则可以编辑其他存储桶策略并手动授予此处列出的 SRT 权限。
下面是一个策略列表示例。
```
{
"Sid": "AWSDDoSResponseTeamAccessS3Bucket",
"Effect": "Allow",
"Principal": {
"Service": "drt.shield.amazonaws.com"
},
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
```
1. 选择 **保存** 以保存您的更改。
[您也可以通过 API 授权 SRT,方法是创建 IAM 角色,将策略 AWSShieldDRTAccess策略附加到该角色,然后将该角色传递给操作助理。DRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html)
# 设置主动参与,让 SRT 直接与您联系
本页提供了设置 SRT 主动参与的说明。
通过主动参与,当您的应用程序的可用性或性能因可能的攻击而受到影响时,SRT 会直接与您联系。我们推荐使用这种参与模式,因为这样 SRT 可以进行最快的响应,甚至在与您建立联系之前就开始故障排除。
针对弹性 IP 地址和 AWS Global Accelerator 标准加速器上的网络层和传输层事件,以及 Amazon CloudFront 分配和应用程序负载均衡器上的 Web 请求洪流,均可主动参与。主动参与仅适用于具有关联 Amazon Route 53 运行状况检查的 Shield Advanced 资源保护。有关管理和使用运行状况检查问题的详细信息,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
在 Shield Advanced 检测到的事件中,SRT 会使用您的健康检查状态来确定该事件是否符合主动参与的条件。如果是,SRT 将根据您在主动参与配置中提供的联系指南与您联系。
您最多可以配置十个联系人以进行主动参与,还可以提供备注来指导 SRT 与您联系。在活动期间,您的主动参与联系人应该可以与 SRT 进行互动。如果您没有全天候运营中心,则可以提供寻呼机联系人,并在联系人备注中注明该联系人偏好。
主动参与要求您执行以下操作:
+ 您必须订购 [Business Support 计划](https://aws.amazon.com/premiumsupport/business-support/)或[企业支持计划](https://aws.amazon.com/premiumsupport/enterprise-support/)。
+ 您必须将 Amazon Route 53 运行状况检查与您想要通过主动参进行保护的任何资源相关联。SRT 使用您的运行状况检查的状态来帮助确定事件是否需要主动参与,因此您的运行状况检查必须准确反映受保护资源的状态。有关更多信息和指导,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
+ 对于关联了 AWS WAF Web ACL 的资源,必须使用 AWS WAF (v2) 创建 Web ACL,这是的最新版本。 AWS WAF
+ 您必须至少提供一位联系人,以便 SRT 在活动期间进行主动参与。保持完整且最新的联系信息。
**启用 SRT 主动参与**
1. 在 AWS Shield 控制台**概述**页面**的主动互动和联系人**下方的联系人区域中,选择**编辑**。
在**编辑联系人**页面中,提供您希望 SRT 主动联系的人员的联系信息。
如果您提供了多个联系人,请在**备注**中说明应分别在什么情况下与每个联系人联系。包括主要和次要联系人名称,并提供每位联系人的可用时间和时区。
联系人备注示例:
+ 这是一条全天候值班热线。请与作出回应的分析师合作,他们会转接相应人员。
+ 如果热线在 5 分钟内没有响应,请与我联系。
1. 选择**保存**。
**概述**页面反映了已更新的联系信息。
1. 选择**编辑主动互动功能**,选择**启用**,然后选择**保存**以启用主动互动。
# 就疑似的 DDo S 事件联系 SRT 寻求帮助
您可以通过以下某种方式联系 SRT:
**支持案例**
您可以在 **AWS 支持中心**控制台中的 **AWS Shield** 下方打开案例。
有关创建支持案例的指导,请参阅 [AWS 支持 Center](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)。
根据您的情况选择严重级别并提供您的联系方式。在描述中,提供尽可能详细的信息。提供有关您认为可能受影响的任何受保护资源以及最终用户体验的当前状态的信息。例如,如果用户体验变差或应用程序的某些部分当前无法可用,请提供该信息。
+ **对于可疑的 DDo S 攻击** — 如果应用程序的可用性或性能当前受到可能的 DDo S 攻击的影响,请选择以下严重程度和联系选项:
+ 对于严重级别,请选择支持计划可用的最高严重级别:
+ 对于业务支持,该级别为**生产系统停机:< 1 小时**。
+ 对于企业支持,该级别为**关键业务系统停机:< 15 分钟**。
+ 对于联系选项,请选择**电话**或**聊天**,然后提供您的详细信息。使用实时联系方式可提供最快的响应。
**主动联系**
通过 AWS Shield Advanced 主动参与,如果与您的受保护资源关联的 Amazon Route 53 运行状况检查在检测到的事件期间变得不正常,SRT 会直接与您联系。有关此选项的更多信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
# 使用 SRT 设置针对 DDo S 攻击的自定义缓解措施
本页提供了使用 SRT 构建针对 S 攻击 DDo的自定义缓解措施的说明。
对于您的 Elastic IPs (EIPs) 和 AWS Global Accelerator 标准加速器,您可以使用 SRT 配置自定义缓解措施。如果您知道在实施缓解措施时应强制执行的特定逻辑,则这一操作很有帮助。例如,您可能希望仅允许来自某些国家/地区的流量,强制执行特定的速率限制,配置可选验证,禁止分段,或者只允许与数据包有效载荷中特定模式匹配的流量。
常见自定义缓解措施示例:
+ **模式匹配**:如果您运营的服务与客户端应用程序交互,则可以选择匹配这些应用程序特有的已知模式。例如,您可能经营游戏或通信服务,要求最终用户安装您分配的特定软件。您可以在应用程序发送给您的服务的每个数据包中加入一个幻数字。您最多可以匹配 128 字节(单独或连续)的未分段 TCP 或 UDP 数据包有效负载和标头。匹配可以用十六进制表示法表示,即从数据包有效载荷开始的特定偏移量,或已知值之后的动态偏移量。例如,缓解措施可以查找字节 `0x01`,然后期望 `0x12345678` 为接下来的四个字节。
+ **特定于 DNS** — 如果您使用全球加速器或亚马逊弹性计算云 (Amazon EC2) 等服务运营自己的权威 DNS 服务,则可以请求自定义缓解措施,验证数据包以确保它们是有效的 DNS 查询,并应用可疑评分来评估特定于 DNS 流量的属性。
要询问如何与 SRT 合作构建自定义缓解措施,请在 AWS Shield下方创建支持案例。要了解有关创建 AWS 支持 案例的更多信息,请参阅[入门 AWS 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。
# 中的资源保护 AWS Shield Advanced
您可以为资源添加和配置 AWS Shield Advanced 保护。您可以管理单个资源的保护,也可以将受保护的资源分组归入逻辑集合,以便更好地管理事件。您还可以使用跟踪对您的 Shield 高级保护的更改 AWS Config。
**注意**
Shield Advanced 仅保护你在 Shield Advanced 中或通过 Shi AWS Firewall Manager eld Advanced 策略指定的资源。它不会自动保护您的资源。
如果您使用的是 AWS Firewall Manager Shield Advanced 策略,则无需管理针对该政策范围内的资源的保护。Firewall Manager 会根据策略配置自动管理对策略范围内的账户和资源的保护。有关更多信息,请参阅 [在 Firewall Manager 中使用 AWS Shield Advanced 策略](shield-policies.md)。
**Topics**
+ [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)
+ [使用 Shield Advanced 保护亚马逊 EC2 实例和网络负载均衡器](ddos-protections-ec2-nlb.md)
+ [使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF](ddos-app-layer-protections.md)
+ [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)
+ [为 AWS 资源添加 AWS Shield Advanced 保护](configure-new-protection.md)
+ [编辑 AWS Shield Advanced 保护](manage-protection.md)
+ [为采用 Shield Advanced 保护的资源创建警报和通知](add-alarm-ddos.md)
+ [移除对 AWS 资源的 AWS Shield Advanced 保护](remove-protection.md)
+ [对您的 AWS Shield Advanced 保护进行分组](ddos-protection-groups.md)
+ [Tracking Shield 中的高级资源保护变化 AWS Config](ddos-add-config.md)
# AWS Shield Advanced 可保护的资源列表
此部分提供有关每种资源类型的 Shield Advanced 保护的信息。
Shield Advanced 可保护网络和传输层(第 3 层和第 4 层)以及应用层(第 7 层)中的 AWS 资源。您可以直接保护某些资源,也可以通过与受保护的资源关联来保护其他资源。Shield Advanced 支持 IPv4,但不支持 IPv6。
**注意**
Shield Advanced 仅保护您在 Shield Advanced 中或通过 AWS Firewall Manager Shield Advanced 策略指定的资源。它不会自动保护您的资源。
您可以使用 Shield Advanced 对以下资源类型进行高级监控和保护:
+ 亚马逊 CloudFront 配送。为了 CloudFront 持续部署,Shield Advanced 可以保护与受保护的主发行版关联的所有暂存分发。
+ Amazon Route 53 托管区。
+ AWS Global Accelerator 标准加速器。
+ 亚马逊 EC2 弹性 IP 地址。Shield Advanced 可保护与受保护的弹性 IP 地址关联的资源。
+ 亚马逊 EC2 实例,通过关联亚马逊 EC2 弹性 IP 地址。
+ 以下弹性负载均衡(ELB)负载均衡器:
+ 应用程序负载均衡器。
+ 经典负载均衡器。
+ 网络负载均衡器,通过与 Amazon EC2 弹性 IP 地址的关联。
**注意**
您无法使用 Shield Advanced 来保护任何其他资源类型。例如,您无法保护 AWS Global Accelerator 自定义路由加速器或网关负载均衡器。
**注意**
NAT 网关仅处理出站流量,而 Shield Advanced 可防范入站 DDo S。要保护出站流量,请使用[AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html)。
针对每个 AWS 账户,每种资源类型最多可监控和保护 1,000 个资源。例如,在一个账户中,您可以保护 1,000 个 Amazon EC2 弹性 IP 地址、1,000 个 CloudFront 分配和 1,000 个应用程序负载均衡器。您可以通过 Service Quotas 控制台请求增加可以使用 Shield Advanced 保护的资源数量,网址为[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)。
# 使用 Shield Advanced 保护亚马逊 EC2 实例和网络负载均衡器
本页介绍如何对 Amazon EC2 实例和网络负载均衡器使用 AWS Shield Advanced 保护。
您可以保护 Amazon EC2 实例和网络负载均衡器,方法是先将这些资源附加到弹性 IP 地址,然后在 Shield Advanced 中保护弹性 IP 地址。
当您保护弹性 IP 地址时,Shield Advanced 会识别和保护它们所连接的资源。Shield Advanced 会自动识别附加到弹性 IP 地址的资源类型,并对该资源应用适当的检测和缓解措施。这包括配置特定 ACLs 于弹性 IP 地址的网络。有关使用弹性 IP 地址与 AWS 资源的更多信息,请参阅下述指南:[Amazon Elastic Compute Cloud 文档](https://docs.aws.amazon.com/ec2/)或 [弹性负载均衡文档](https://docs.aws.amazon.com/elasticloadbalancing/)。
攻击期间,Shield Advanced 会自动将您的网络部署 ACLs 到 AWS 网络边界。当您的网络 ACLs 处于网络边界时,Shield Advanced 可以针对较大的 DDo S 事件提供保护。通常,网络应用 ACLs 于您的亚马逊 VPC 内的亚马逊 EC2 实例附近。网络 ACL 只能缓解您的 Amazon VPC 和实例可以处理的攻击。例如,如果连接到您的 Amazon EC2 实例的网络接口可以处理高达 10 Gbps 的速度,则超过 10 Gbps 的卷将减慢速度,并可能阻塞该实例的流量。在攻击期间,Shield Advanced 会将您的网络 ACL 提升至 AWS 边界以处理多个 TB 的流量。您的网络 ACL 能够为您的资源提供超出您的网络典型容量的保护。有关网络的更多信息 ACLs,请参阅[网络ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
某些扩展工具(例如 AWS Elastic Beanstalk)不允许您将弹性 IP 地址自动附加到 Network Load Balancer。对于这些情况,您需要手动附加弹性 IP 地址。
# 使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF
本页介绍了 Shield Advanced 和 Shield 如何协同 AWS WAF 工作以保护应用层(第 7 层)的资源。
要使用 Shield Advanced 保护您的应用程序层资源,首先要将 AWS WAF web ACL 与资源关联,然后向其添加一个或多个基于速率的规则。此外,您还可以启用自动应用层 DDo S 缓解,这会让 Shield Advanced 自动代表您创建和管理 Web ACL 规则,以响应 DDo S 攻击。
当您使用 Shield Advanced 保护应用程序层资源时,Shield Advanced 会分析一段时间内的流量以建立和维护基准。Shield Advanced 使用这些基准来检测流量模式中可能表明 S 攻击的 DDo异常。Shield Advanced 检测到攻击的时间点取决于 Shield Advanced 在攻击之前能够观察到的流量以及您用于 web 应用程序的架构。可能影响 Shield Advanced 行为的架构变化包括您使用的实例类型、实例大小以及实例类型是否支持增强联网。您还可以将 Shield Advanced 配置为自动缓解应用程序层攻击。
**Shield 高级版订阅和 AWS WAF 费用**
您的 Shield Advanced 订阅可支付使用标准 AWS WAF 功能来保护您使用 Shield Advanced 保护的资源的费用。Shield Advanced 保护所涵盖的标准 AWS WAF 费用是每个保护包(Web ACL)的费用、每条规则的费用以及每百万个 Web 请求检查的基本价格,最多 1,500 WCUs 个,不超过默认的主体尺寸。
启用 Shield Advanced 自动应用层 DDo S 缓解会向您的保护包(Web ACL)中添加一个使用 150 个 Web ACL 容量单位的规则组(WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md) 和 [Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
你对 Shield Advanced 的 AWS WAF 订阅不包括使用你无法使用 Shield Advanced 保护的资源。它也不包括受保护资源的任何额外非标准 AWS WAF 成本。非标准 AWS WAF 成本的示例包括 Bot Control、CAPTCHA规则操作、使用量超过 1,500 WCUs 的 Web ACLs 以及检查超出默认正文大小的请求正文。完整列表在 AWS WAF 定价页面上提供。您对 Shield Advanced 的订阅包括访问第 7 层 Anti-DDo S Amazon 托管规则群组的访问权限。作为订阅的一部分,您将在一个日历月内收到多达 500 亿个 Shield Advanced 受保护 AWS WAF 资源的请求。超过 500 亿的请求将根据 AWS Shield Advanced 定价页面进行计费。
有关完整信息和定价示例,请参阅 [Shield 定价](https://aws.amazon.com/shield/pricing/)和 [AWS WAF 定价](https://aws.amazon.com/waf/pricing/)。
**Topics**
+ [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)
+ [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)
+ [使用 AWS WAF 基于速率的规则和 Shield Advanced 保护应用层](ddos-app-layer-rbr.md)
+ [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)
# 使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单
本节介绍了影响 Shield Advanced 检测和缓解应用程序层事件的因素。
**运行状况检查**
运行状况检查可以准确报告应用程序的整体运行状况,从而为 Shield Advanced 提供有关应用程序正在经历的流量状况的信息。当应用程序报告运行状况不佳时,Shield Advanced 需要较少指向潜在攻击的信息,应用程序报告运行正常时则需要较多的攻击证据。
务必恰当运行状况检查,以便准确地报告应用程序的运行状况。有关更多信息和指导,请参阅 [使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
**流量基准**
流量基准为 Shield Advanced 提供了应用程序的正常流量的特征信息。Shield Advanced 使用这些基准来识别应用程序何时未收到正常流量,以便为您提供通知,并根据配置开始设计和测试缓解选项来抵御潜在的攻击。有关 Shield Advanced 如何使用流量基准检测潜在事件的更多信息,请参阅概述部分 [应用程序层威胁(第 7 层)的 Shield Advanced 检测逻辑](ddos-event-detection-application.md)。
Shield Advanced 通过与受保护资源关联的 Web ACL 提供的信息来创建其基准。Web ACL 必须与资源关联至少 24 小时至 30 天,然后 Shield Advanced 才能可靠地确定应用程序的基准。所需时间从您关联 Web ACL 时开始算起,无论是通过 Shield Advanced 还是通过 AWS WAF。
有关结合使用 Web ACL 和 Shield Advanced 应用程序层保护的更多信息,请参阅 [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。
**基于速率的规则**
基于速率的规则可以帮助缓解攻击。这些规则还可以隐藏攻击,它们在攻击成为足够大的问题以至于出现在正常流量基线或运行状况检查状态报告中之前对其进行缓解。
当使用 Shield Advanced 保护应用程序资源时,我们建议在 Web ACL 中使用基于速率的规则。尽管这些规则的缓解措施可以隐藏潜在的攻击,但它们充当了宝贵的第一道防线,有助于确保应用程序可供合法的客户使用。基于速率的规则检测到并施加速率限制的流量在 AWS WAF 指标中是可见的。
除了您自己的基于速率的规则外,如果您启用自动应用层 DDo S 缓解,Shield Advanced 还会在您的 Web ACL 中添加一个规则组,用于缓解攻击。在此规则组中,Shield Advanced 始终采用基于速率的规则,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。您无法看到 Shield Advanced 规则缓解的流量指标。
有关基于速率的规则的更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。有关 Shield Advanced 用于自动缓解应用层 DDo S 的基于速率的规则的信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
有关 Shield Advanced 和 AWS WAF 指标的更多信息,请参阅[使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
# 使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层
本页介绍了 AWS WAF web ACLs 和 Shield Advanced 如何协同工作以创建基本的应用层保护。
要使用 Shield Advanced 保护应用层资源,首先要将 AWS WAF Web ACL 与该资源关联。 AWS WAF 是一个 Web 应用程序防火墙,允许您监控转发到应用层资源的 HTTP 和 HTTPS 请求,并允许您根据请求的特征控制对内容的访问权限。您可以配置 Web ACL,根据请求的来源、查询字符串和 Cookie 的内容以及来自单个 IP 地址的请求速率等因素来监控和管理请求。要进行 Shield Advanced 保护,您至少要将 Web ACL 与基于速率的规则相关联,该规则限制了每个 IP 地址的请求速率。
如果关联的 Web ACL 没有定义基于速率的规则,Shield Advanced 会提示您定义至少一个规则。当流量超过您定义的阈值 IPs时,基于速率的规则会自动阻止来自来源的流量。它们有助于保护您的应用程序免受 Web 请求洪水的侵害,并可以提供有关流量突然激增的警报,这可能表明可能存在 DDo S 攻击。
**注意**
基于速率的规则以非常快的速度响应规则监控的流量峰值。因此,基于速率的规则不仅可以防止攻击,还可以由 Shield Advanced 检测潜在的攻击。这种权衡有利于预防,而不是为了完全了解攻击模式。我们建议使用基于速率的规则作为抵御“攻击”的第一道防线。
建立 Web ACL 后,如果发生 DDo S 攻击,您可以通过在 Web ACL 中添加和管理规则来采取缓解措施。您可以在 Shield 响应小组 (SRT) 的协助下直接执行此操作,也可以通过自动应用层 DDo S 缓解来自动执行此操作。
**重要**
如果您还使用自动应用层 DDo S 缓解措施,请参阅管理 Web ACL 的最佳实践,网址为[使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md)。
有关使用 AWS WAF 管理 Web 请求监控和管理规则的信息,请参阅[在中创建保护包 (Web ACL) AWS WAF](web-acl-creating.md)。
# 使用 AWS WAF 基于速率的规则和 Shield Advanced 保护应用层
本页介绍 AWS WAF 基于速率的规则和 Shield Advanced 如何协同工作以创建基本的应用层保护。
当您使用默认配置的基于速率的规则时, AWS WAF 会定期评估前 5 分钟时间段内的流量。 AWS WAF 阻止来自超过规则阈值的任何 IP 地址的请求,直到请求速率降至可接受的水平。通过 Shield Advanced 配置基于速率的规则时,请将其速率阈值配置为一个高于任何五分钟时间窗口内任何一个源 IP 的正常流量速率的值。
您可能希望在 Web ACL 中使用多个基于速率的规则。例如,您可以为所有具有高阈值的流量设置一个基于速率的规则,外加一个或多个其他规则,这些规则配置为与您的 Web 应用程序的选定部分相匹配且阈值较低。例如,您可以对阈值较低的 URI `/login.html` 进行匹配,以减少对登录页面的滥用行为。
可以将基于速率的规则配置为使用不同的评估时间窗口,并根据多个请求组件(例如标头值、标签和查询参数)来聚合请求。有关更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
有关更多信息和指导,请参阅安全博客文章[《三个最重要的 AWS WAF 基于费率的规则》](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)。
**通过以下方式扩展了配置选项 AWS WAF**
Shield Advanced 控制台允许您添加基于速率的规则,并使用基本的默认设置对其进行配置。您可以通过管理基于费率的规则来定义其他配置选项。 AWS WAF例如,您可以将规则配置为根据键聚合请求,例如根据转发的 IP 地址、查询字符串和标签。您还可以在规则中添加范围缩小语句,从评估和速率限制中筛选出一些请求。有关更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
# 使用 Shield Advanced 自动缓解应用层 DDo S
**注意**
从 2026 年 3 月 26 日起,的反 DDo S 托管规则组(Anti-S AMR) AWS WAF 将成为防御 HTTP 请求洪水攻击的默认解决方案(参见 [Anti-DDo S AM](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/) R 发布博客)。它取代了第 7 层自动缓解 (L7AM) 功能。如果您是 Shield Advanced 的现有客户,则可以继续对现有账户或新 AWS 账户使用旧版解决方案。但是,我们鼓励您采用 Anti-DDo S 托管规则组。Anti-DDo S 托管规则组可在几秒钟而不是几分钟内检测并缓解攻击。如果您是 Shield Advanced 的新客户,并且需要访问旧版解决方案,请联系 Supp AWS ort。
本页介绍了自动应用层 DDo S缓解的主题,并列出了相关的注意事项。
您可以将 Shield Advanced 配置为自动响应,通过计算或阻止作为攻击一部分的 web 请求来缓解针对受保护应用程序层资源的应用程序层(第 7 层)攻击。此选项是您通过Shield Advanced添加的应用层保护的补充,该保护具有 AWS WAF Web ACL和您自己的基于速率的规则。
当为资源启用自动缓解时,Shield Advanced 会在资源的关联 web ACL 中维护一个规则组,在这里,它代表资源管理缓解规则。该规则组包含一个基于速率的规则,用于跟踪来自已知是 DDo S 攻击来源的 IP 地址的请求量。
此外,Shield Advanced 将当前流量模式与历史流量基线进行比较,以检测可能表明 DDo S 攻击的偏差。Shield Advanced 通过在规则组中创建、评估和部署其他自定义 AWS WAF 规则来响应检测到的 DDo S 攻击。
## 使用自动应用层 DDo S 缓解措施的注意事项
以下列表描述了 Shield Advanced 自动应用层 DDo S 缓解的注意事项,并描述了您可能需要采取的响应步骤。
+ 自动应用层 DDo S 缓解仅适用于使用最新版本 (v2 ACLs) 创建的保护包 AWS WAF (Web)。
+ Shield Advanced 需要时间为应用程序建立正常历史流量基准,并利用该基准来检测攻击流量并将其与正常流量隔离,从而缓解攻击流量。建立基准的时间介于 24 小时到 30 天之间,从将 web ACL 与受保护的应用程序资源关联时算起。有关流量基准的其他信息,请参阅 [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)。
+ 启用自动应用层 DDo S 缓解会向您的保护包 (Web ACL) 中添加一个使用 150 个 Web ACL 容量单位的规则组 (WCUs)。这些 WCUs 计入您的保护包(Web ACL)中的 WCU 使用量。有关更多信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)和[Web ACL 容量单位 (WCUs) AWS WAF](aws-waf-capacity-units.md)。
+ Shield Advanced 规则组会生成 AWS WAF 指标,但这些指标不可查看。这与您在保护包 (Web ACL) 中使用但不拥有的任何其他规则组相同,例如 AWS 托管规则规则组。有关 AWS WAF 指标的更多信息,请参阅[AWS WAF 指标和维度](waf-metrics.md)。有关该 Shield Advanced 保护选项的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](#ddos-automatic-app-layer-response)。
+ 对于保护多个资源的网络 ACLs ,自动缓解仅部署不会对任何受保护资源产生负面影响的自定义缓解措施。
+ 从 DDo S 攻击开始到 Shield Advanced 放置自定义自动缓解规则的时间因每个事件而异。某些 DDo S 攻击可能会在部署自定义规则之前结束。当缓解措施已经到位时,可能会发生其他攻击,因此可能会从该事件开始就通过这些规则来缓解。此外,web ACL 和 Shield Advanced 规则组中基于速率的规则可以在攻击流量作为可能的事件进行检测之前对其进行缓解。
+ 对于通过内容分发网络 (CDN)(例如 Ama CloudFront zon)接收任何流量的应用程序负载均衡器,Shield Advanced 针对这些应用程序负载均衡器资源的应用程序层自动缓解能力将降低。Shield Advanced 使用客户端流量属性来识别攻击流量并将其与普通流量隔离到您的应用程序,并且 CDNs 可能不会保留或转发原始客户端流量属性。如果您使用 CloudFront,我们建议您在 CloudFront 发行版上启用自动缓解功能。
+ 自动应用层 DDo S 缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。
**Contents**
+ [使用自动应用层 DDo S 缓解措施的注意事项](#ddos-automatic-app-layer-response-caveats)
+ [使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md)
+ [启用自动应用层 DDo S 缓解措施](ddos-automatic-app-layer-response-config.md)
+ [在启用自动缓解时发生的情况](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced 如何通过自动缓解来响应 DDo S 攻击](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理规则操作设置](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [攻击消退后 Shield Advanced 如何管理缓解措施](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [在禁用自动缓解时发生的情况](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)
+ [查看资源的自动应用层 DDo缓解配置](view-automatic-app-layer-response-configuration.md)
+ [启用和禁用自动应用层 DDo S 缓解措施](enable-disable-automatic-app-layer-response.md)
+ [更改用于自动应用层 DDo S 缓解的操作](change-action-of-automatic-app-layer-response.md)
+ [AWS CloudFormation 与自动应用层 DDo S 缓解一起使用](manage-automatic-mitigation-in-cfn.md)
# 使用自动应用层 DDo S 缓解措施的最佳实践
使用自动缓解时,请遵守本节中提供的指导。
**一般保护管理**
在规划和实施自动缓解保护时,请遵循以下指南。
+ 通过 Shield Advanced 管理所有自动缓解保护,或者如果你使用 AWS Firewall Manager 管理你的 Shield Advanced 自动缓解设置,也可以通过 Firewall Manager 管理所有自动缓解保护。在管理这些保护时,请勿将 Shield Advanced 和 Firewall Manager 混用。
+ 使用相同的 Web ACLs 和保护设置管理相似的资源,使用不同的 Web ACLs 管理不同的资源。当 Shield Advanced 缓解对受保护资源的 DDo S 攻击时,它会为与该资源关联的 Web ACL 定义规则,然后针对与 Web ACL 关联的所有资源的流量测试规则。只有在规则不会对任何相关资源产生负面影响的情况下,Shield Advanced 才会应用这些规则。有关更多信息,请参阅 [Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
+ 对于所有互联网流量都通过 Amazon 分配代理的应用程序负载均衡器,仅在 CloudFront分配上启用自动缓解功能。 CloudFront该 CloudFront 发行版将始终拥有最多的原始流量属性,Shield Advanced 利用这些属性来缓解攻击。
**检测和缓解优化**
请遵循以下指导方针,优化自动缓解功能为受保护资源提供的保护。有关应用程序层检测和缓解的概述,请参阅 [使用影响 Shield Advanced 检测和缓解应用程序层事件的因素清单](ddos-app-layer-detection-mitigation.md)。
+ 为受保护的资源配置运行状况检查,并利用这些检查在 Shield Advanced 防护中启用运行状况检测。有关指南,请参阅[使用 Shield Advanced 和 Route 53 进行运行状况检测](ddos-advanced-health-checks.md)。
+ 在Count模式下启用自动缓解,直到 Shield Advanced 为正常的历史流量建立基准。Shield Advanced 需要 24 小时到 30 天的时间来建立基准。
建立正常流量模式的基线需要满足以下条件:
+ Web ACL 与受保护资源关联。您可以 AWS WAF 直接使用关联您的 Web ACL,也可以在启用 Shield 高级应用层保护并指定要使用的 Web ACL 时让 Shield Advanced 将其关联。
+ 正常流量流向受保护的应用程序。如果应用程序没有正常流量,例如在启动应用程序之前或者在长时间缺乏生产流量的情况下,则无法收集历史数据。
**Web ACL 管理**
请遵循以下指导方针来管理使用自动缓解功能的 Web ACLs 。
+ 如果需要替换与受保护资源关联的 Web ACL,请按顺序进行以下更改:
1. 在 Shield Advanced 中,禁用自动缓解。
1. 在中 AWS WAF,取消关联旧的 Web ACL 并关联新的 Web ACL。
1. 在 Shield Advanced 中,启用自动缓解。
Shield Advanced 不会自动将自动缓解措施从旧 Web ACL 转移至新 Web ACL。
+ 不要从您的网站上删除任何 ACLs 名称以开头的规则组规则`ShieldMitigationRuleGroup`。如果确实删除了此规则组,则您将禁用 Shield Advanced 为与 Web ACL 关联的每个资源提供的自动缓解保护。此外,Shield Advanced 可能需要一些时间才能收到更改通知并更新其设置。在此期间,Shield Advanced 控制台页面所提供的信息是不准确的。
有关规则组的更多信息,请参阅 [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
+ 请勿修改名称以 `ShieldMitigationRuleGroup` 开头的规则组规则的名称。该操作可能会干扰 Shield Advanced 自动缓解通过 Web ACL 提供的保护。
+ 创建规则和规则组时,请勿使用以 `ShieldMitigationRuleGroup` 开头的名称。Shield Advanced 使用此字符串来管理您的自动缓解措施。
+ 在管理 Web ACL 规则时,请勿将优先级设置为 10,000,000。Shield Advanced 在添加自动缓解规则组规则时会将该优先级设置分配给该规则。
+ 在Web ACL 的规则中保持 `ShieldMitigationRuleGroup` 规则的优先顺序,使其根据您的需要运行。Shield Advanced 为 Web ACL 添加规则组规则,优先级为 10,000,000,这样它将在其他规则之后运行。如果您使用 AWS WAF 控制台向导来管理 Web ACL,请在向 Web ACL 添加规则后根据需要调整优先级设置。
+ 如果您 AWS CloudFormation 使用管理网页 ACLs,则无需管理`ShieldMitigationRuleGroup`规则组规则。按照 [AWS CloudFormation 与自动应用层 DDo S 缓解一起使用](manage-automatic-mitigation-in-cfn.md) 中的指导进行操作。
# 启用自动应用层 DDo S 缓解措施
本页介绍了如何配置 Shield Advanced 以自动响应应用程序层攻击。
您可以启用 Shield Advanced 自动缓解作为资源应用层 DDo S 保护的一部分。有关在控制台上执行此操作的信息,请参阅 [配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。
自动缓解功能要求您执行以下操作:
+ 将 **Web ACL 与资源关联**:这是任何 Shield Advanced 应用程序层保护所必需的。您可以对多个资源使用相同的 Web ACL。我们建议仅对流量相似的资源执行此操作。有关 Web 的信息ACLs,包括将其用于多种资源的要求,请参阅[如何 AWS WAF 运作](how-aws-waf-works.md)。
+ **启用和配置 Shield Advanced 自动应用层 DDo S 缓解措施** — 启用此功能后,您可以指定是希望 Shield Advanced 自动阻止还是计算其确定为 DDo S 攻击一部分的 Web 请求。Shield Advanced 将规则组添加到关联的 Web ACL 中,并使用它来动态管理其对资源上的 DDo S 攻击的响应。有关规则操作选项的信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
+ **(可选,但推荐)在 Web ACL 中添加基于速率的规则**-默认情况下,基于速率的规则可防止任何单个 IP 地址在短时间内发送过多请求,从而为您的资源提供防御 DDo S 攻击的基本保护。有关基于速率的规则(包括自定义请求聚合选项和示例)的信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
## 在启用自动缓解时发生的情况
启用自动缓解后,Shield Advanced 会执行以下操作:
+ **根据需要添加规则组以供 Shield Advanced 使用** — 如果您与资源关联的 AWS WAF Web ACL 还没有专门用于自动缓解应用层 DDo S 的 AWS WAF 规则组规则,Shield Advanced 会添加一条规则组规则。
规则组规则的名称以 `ShieldMitigationRuleGroup` 开头。规则组始终包含名为的基于速率的规则`ShieldKnownOffenderIPRateBasedRule`,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。有关 Shield Advanced 规则组和引用它的 Web ACL 规则的其他详细信息,请参阅 [使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)。
+ **开始响应针对资源 DDo的 S 攻击** — Shield Advanced 会自动响应受保护资源的 DDo S 攻击。除了始终存在的基于速率的规则外,Shield Advanced 还使用其规则组来部署缓解 DDo S 攻击的自定义 AWS WAF 规则。Shield Advanced 会根据您的应用程序和应用程序遇到的攻击量身定制这些规则,并在部署之前根据该资源的历史流量对其进行测试。
Shield Advanced 在您用于自动缓解的任何 Web ACL 中使用单个规则组规则。如果 Shield Advanced 已经为另一个受保护资源添加了规则组,则不会向 Web ACL 添加另一个规则组。
应用层 DDo S 的自动缓解取决于是否存在用于缓解攻击的规则组。如果出于任何原因将规则组从 AWS WAF Web ACL 中删除,则删除规则组将禁用与该 Web ACL 关联的所有资源的自动缓解措施。
# Shield Advanced 如何管理自动缓解
本节中的主题介绍 Shield Advanced 如何处理您的配置更改以实现自动应用层 DDo S 缓解,以及在启用自动缓解后如何处理 DDo S 攻击。
**Topics**
+ [Shield Advanced 如何通过自动缓解来响应 DDo S 攻击](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理规则操作设置](#ddos-automatic-app-layer-response-rule-action)
+ [攻击消退后 Shield Advanced 如何管理缓解措施](#ddos-automatic-app-layer-response-after-attack)
+ [在禁用自动缓解时发生的情况](#ddos-automatic-app-layer-response-disable)
## Shield Advanced 如何通过自动缓解来响应 DDo S 攻击
当您在受保护的资源上启用自动缓解时,Shield Advanced 规则组`ShieldKnownOffenderIPRateBasedRule`中基于速率的规则会自动响应来自已知 DDo S 源的流量增加的情况。此速率限制可以快速应用,能起到抵御攻击的前线防御作用。
当 Shield Advanced 检测到攻击时,它会执行下列操作:
1. 尝试识别攻击签名,该特征码将攻击流量与发送到您的应用程序的正常流量隔离开来。目标是制定高质量的 DDo S 缓解规则,这些规则放置后仅影响攻击流量,不会影响应用程序的正常流量。
1. 根据受到攻击的资源以及与相同 Web ACL 关联的任何其他资源的历史流量模式,评估已识别的攻击特征。Shield Advanced 会在部署任何规则以响应事件之前执行此操作。
根据评估结果,Shield Advanced 执行以下操作之一:
+ 如果 Shield Advanced 确定攻击签名仅隔离 DDo S 攻击所涉及的流量, AWS WAF 则它将在 Web ACL 的 Shield 高级缓解规则组的规则中实现签名。Shield Advanced 为这些规则提供了您为资源自动缓解配置的操作设置,可以是 Count 或 Block。
+ 否则,Shield Advanced 不会提供缓解措施。
在整个攻击过程中,Shield Advanced 会发送与基本 Shield Advanced 应用程序层保护相同的通知并提供相同的事件信息。你可以在 Shield Advanced 事件控制台中查看有关事件和 DDo S 攻击以及任何针对攻击的 Shield 高级缓解措施的信息。有关信息,请参阅[使用 Shield Advanced 查看 DDo S 事件](ddos-viewing-events.md)。
如果您已将自动缓解配置为使用 Block 规则操作,并且 Shield Advanced 部署的缓解规则发生误报,则可以将规则操作更改为 Count。有关如何执行此操作的信息,请参阅 [更改用于自动应用层 DDo S 缓解的操作](change-action-of-automatic-app-layer-response.md)。
## Shield Advanced 如何管理规则操作设置
您可以将自动缓解的规则操作设置为 Block 或 Count。
当您更改受保护资源的自动缓解规则操作设置时,Shield Advanced 会更新该资源的所有规则设置。它会更新 Shield Advanced 规则组中资源当前存在的任何规则,并在创建新规则时使用新的操作设置。
对于使用相同 Web ACL 的资源,如果指定不同的操作,Shield Advanced 将使用规则组基于速率的规则 `ShieldKnownOffenderIPRateBasedRule` 的 Block 操作设置。Shield Advanced 代表特定的受保护资源创建和管理规则组中的其他规则,并使用您为该资源指定的操作设置。Web ACL 中的 Shield Advanced 规则组中的所有规则都应用于所有相关资源的 Web 流量。
更改操作设置可能需要几秒钟进行传播。在此期间,某些使用规则组的位置会显示旧设置,而另一些会显示新设置。
您可以在控制台的事件页面和应用程序层配置页面更改自动缓解配置的规则操作设置。有关事件的更多信息,请参阅 [在中响应 DDo S 事件 AWS](ddos-responding.md)。有关配置文件的更多信息,请参阅[配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。
## 攻击消退后 Shield Advanced 如何管理缓解措施
当 Shield Advanced 确定不再需要为特定攻击部署的缓解规则时,它会将其从 Shield Advanced 缓解规则组中删除。
攻击结束并不意味着取消缓解规则。Shield Advanced 会监控它在您的受保护资源上检测到的攻击模式。它可以保持针对首次发生攻击时部署的规则,以主动防御带有特定特征的攻击再次发生。根据需要,Shield Advanced 会延长遵守规则的时间窗口。这样,Shield Advanced 就可以在使用特定特征码的重复攻击影响您的受保护资源之前缓解这些攻击。
Shield Advanced 永远不会删除基于速率的规则`ShieldKnownOffenderIPRateBasedRule`,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。
## 在禁用自动缓解时发生的情况
当您为资源禁用自动缓解时,Shield Advanced 会执行以下操作:
+ **停止自动响应 DDo S 攻击** — Shield Advanced 停止对该资源的自动响应活动。
+ **从 Shield Advanced 规则组中移除不需要的规则**:如果 Shield Advanced 代表受保护资源维护其托管规则组中的任何规则,则会将其删除。
+ **如果已不再使用 Shield Advanced 规则组,则将其删除**:如果您与该资源关联的 Web ACL 未与任何其他启用了自动缓解的资源相关联,Shield Advanced 将从 Web ACL 中删除其规则组规则。
# 使用 Shield Advanced 规则组保护应用程序层
本页介绍了 Shield Advanced 规则组如何在 Web ACL 中工作。
Shield Advanced 使用规则组中它拥有和为您管理的规则来管理自动缓解活动。Shield Advanced 在 Web ACL 中引用具有与受保护资源关联的规则的规则组。
**Web ACL 中的规则组规则**
您的 Web ACL 中的 Shield Advanced 规则组规则具有下列属性:
+ **名称** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Web ACL 容量单位 (WCU) 数**:150。这些 WCUs 计入您的 Web ACL 中的 WCU 使用量。
Shield Advanced 在你的 Web ACL 中创建此规则,优先级设置为 10,000,000,这样它就可以在 Web ACL 中的其他规则和规则组之后运行。 AWS WAF 从最低数字优先级设置开始运行 Web ACL 中的规则。在管理 Web ACL 期间,此优先级设置可能会发生变化。
除了 Web ACL 中规则组 WCUs 使用的 AWS WAF 资源外,自动缓解功能不会消耗您账户中的任何其他资源。例如,Shield Advanced 规则组不算作您账户的规则组之一。有关中的账户限制的信息 AWS WAF,请参阅[AWS WAF 配额](limits.md)。
**规则组中的规则**
在引用的 Shield Advanced 规则组中,Shield Advanced 维护着一条`ShieldKnownOffenderIPRateBasedRule`基于速率的规则,该规则限制了来自已知是 DDo S 攻击来源的 IP 地址的请求量。此规则是抵御任何攻击的第一道防线,因为它始终存在于规则组中,并且不依赖对流量模式的分析来遏制攻击。与规则组中的其他规则一样,此规则的操作设置为您为自动缓解选择的操作。有关基于速率的规则的更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。
**注意**
基于速率的规则的 `ShieldKnownOffenderIPRateBasedRule` 独立于 Shield Advanced 事件检测运行。启用自动缓解功能后,此规则会限制已知是 DDo S 攻击来源的 IP 地址。对于这些 IP 地址,此规则的速率限制可以防范攻击,并且还可以防止攻击出现在 Shield Advanced 检测信息中。这种权衡有利于预防,而不是为了完全了解攻击模式。
除了上述基于速率的永久规则外,该规则组还包含 Shield Advanced 当前用于缓解 DDo S 攻击的所有规则。Shield Advanced 根据需要添加、修改和删除这些规则。有关信息,请参阅[Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
**指标**
规则组生成 AWS WAF 指标,但由于此规则组归Shield Advanced所有,因此无法查看这些指标。有关更多信息,请参阅 [AWS WAF 指标和维度](waf-metrics.md)。
# 查看资源的自动应用层 DDo缓解配置
您可以在 “受保护的资源” 页面和各个**保护页面中查看资源的**自动应用层 DDo缓解配置。
**查看自动应用层 DDo S 缓解配置**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。在受保护资源列表中,“**自动应用层 DDo S 缓解**” 列表示是否启用了自动缓解,如果已启用,则显示 Shield Advanced 将在缓解中使用的操作。
您也可以选择任何应用程序层资源,以查看该资源保护页面上列出的相同信息。
# 启用和禁用自动应用层 DDo S 缓解措施
以下过程介绍如何对受保护资源启用或禁用自动响应。
**为单个资源启用或禁用自动应用层 DDo S 缓解措施**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡中,选择要为其启用自动缓解功能的应用程序层资源。资源的保护页面打开。
1. 在保护组页面上,选择**编辑**。
1. 在 “**为全局资源配置第 7 DDo 层缓解-*可选***” 页面中,对于**自动应用层 DDo S 缓解**,选择要用于自动缓解的选项。控制台上的选项如下:
+ **保留当前设置**:不对受保护资源的自动缓解设置进行任何更改。
+ **启用**:为受保护的资源启用自动缓解。选择此选项时,还要选择要在 Web ACL 规则中使用自动缓解措施的规则操作。有关规则操作设置的信息,请参阅 [在中使用规则操作 AWS WAF](waf-rule-action.md)。
如果受保护资源还没有正常应用程序流量的历史记录,应在 Count 模式下启用自动缓解功能,直到 Shield Advanced 可以建立基准。当您将 Web ACL 关联至受保护的资源时,Shield Advanced 会开始收集其基准信息,并且可能需要 24 小时到 30 天的时间才能为正常流量建立良好的基准。
+ **禁用**:禁用受保护资源的自动缓解。
1. 浏览其余页面,直到完成并保存配置。
在**保护**页面中,将更新资源的自动缓解设置。
# 更改用于自动应用层 DDo S 缓解的操作
您可以在控制台的多个位置更改 Shield Advanced 用于其应用程序层自动响应的操作:
+ **自动缓解配置**:在为资源配置自动缓解时更改操作。有关操作步骤,请参阅上一节 [启用和禁用自动应用层 DDo S 缓解措施](enable-disable-automatic-app-layer-response.md)。
+ **事件详细信息页面**:当您在控制台中查看事件信息时,在活动详细信息页面中更改操作。有关信息,请参阅[查看 AWS Shield Advanced 活动详情](ddos-event-details.md)。
如果您有两个受保护资源共享一个 Web ACL,并且您将其中一个资源的操作设置为 Count,将另一个资源的操作设置为 Block,Shield Advanced 会将规则组的基于速率的规则 `ShieldKnownOffenderIPRateBasedRule` 的操作设置为 Block。
# AWS CloudFormation 与自动应用层 DDo S 缓解一起使用
本页介绍如何使用 CloudFormation 来管理您的防护和 AWS WAF 网络 ACLs。
**启用或禁用自动应用层 DDo S 缓解措施**
您可以使用`AWS::Shield::Protection`资源通过 AWS CloudFormation启用和禁用自动应用层 DDo S 缓解措施。效果与通过控制台或任何其他界面启用或禁用该功能时的效果相同。有关 CloudFormation 资源的信息,请参阅*AWS CloudFormation 用户指南[AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)*中的。
**管理带有自动缓解功能的 Web ACLs**
Shield Advanced 使用受保护资源的 AWS WAF Web ACL 中的规则组规则管理受保护资源的自动缓解措施。通过 AWS WAF 控制台和 APIs,您将看到 Web ACL 规则中列出的规则,其名称以开头`ShieldMitigationRuleGroup`。此规则专用于您的自动应用层 DDo S 缓解措施,由 Shield Advanced 和 AWS WAF. 有关更多信息,请参阅[使用 Shield Advanced 规则组保护应用程序层](ddos-automatic-app-layer-response-rg.md)和[Shield Advanced 如何管理自动缓解](ddos-automatic-app-layer-response-behavior.md)。
如果您使用 CloudFormation 管理网页 ACLs,请不要将 Shield Advanced 规则组规则添加到您的网页 ACL 模板中。当您更新与自动缓解保护一起使用的 Web ACL 时, AWS WAF 会自动管理 Web ACL 中的规则组规则。
与您通过其他 Web 进行管理相比 ACLs ,您会发现以下区别 CloudFormation:
+ CloudFormation 不会报告使用 Shield Advanced 规则组规则的 Web ACL 的实际配置与没有规则的 Web ACL 模板之间的堆栈偏移状态有任何偏差。Shield Advanced 规则不会出现在资源实际列表的偏移细节中。
您将能够在从中检索的 Web ACL 列表中看到 Shield Advanced 规则组规则 AWS WAF,例如通过 AWS WAF 控制台或 AWS WAF APIs。
+ 如果您修改堆栈中的 Web ACL 模板, AWS WAF Shield Advanced 会在更新后的 Web ACL 中自动维护 Shield Advanced 自动缓解规则。Shield Advanced 提供的自动缓解保护不会因您对 Web ACL 的更新而中断。
不要在你的 CloudFormation 网页 ACL 模板中管理 Shield Advanced 规则。Web ACL 模板不应列出 Shield Advanced 规则。请在 [使用自动应用层 DDo S 缓解措施的最佳实践](ddos-automatic-app-layer-response-bp.md) 按照 Web ACL 管理的最佳实践进行操作。
# 使用 Shield Advanced 和 Route 53 进行运行状况检测
您可以将 Shield Advanced 配置为使用运行状况检测,以提高攻击检测和缓解的响应能力和准确性。您可以将此选项用于除 Route 53 托管区域之外的任何资源类型。
要配置运行状况检测,您可以在 Route 53 中为资源定义运行状况检查,验证其报告运行状况是否正常,然后将其与您的 Shield Advanced 保护相关联。有关 Route 53 运行状况检查的信息,请参阅《Amazon Route 53 开发人员指南》中的 [Amazon Route 53 如何检查资源的运行状况](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html)以及[创建、更新和删除运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
**注意**
Shield Response Team (SRT) 的主动参与支持需要进行运行状况检查。有关主动参与的信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
运行状况检查根据您定义的要求衡量资源的运行状况。运行状况检查状态为 Shield Advanced 检测机制提供关键输入,这使它们对特定应用程序的当前状态更加敏感。
您可以为除 Route 53 托管区域之外的任何资源类型启用运行状况检测。
+ **网络和传输层(第 3 层/第 4 层)资源**:运行状况检测可提高网络负载均衡器、弹性 IP 地址和全局加速器标准加速器的网络层和传输层事件检测和缓解的准确性。当您使用 Shield Advanced 保护这些资源类型时,Shield Advanced 可以缓解较小的攻击,更快地缓解攻击,即使流量在应用程序的容量之内。
添加运行状况检测后,如果关联的运行状况检查显示状况不佳,Shield Advanced 可采用更低的阈值,以更快的速度实施缓解措施。
+ **应用程序层(第 7 层)资源** — 基于运行状况的检测提高了 CloudFront分布和应用程序负载均衡器的 Web 请求洪水检测的准确性。使用 Shield Advanced 保护这些资源类型时,根据请求特征,当流量出现统计意义上的显著偏差并与流量模式的显著变化相结合时,您就会收到 Web 请求泛洪检测警报。
采用运行状况检测后,如果关联的 Route 53 运行状况检查显示状况不佳,则 Shield Advanced 可以就较小的偏差发出警报,并且可以更快地报告事件。相反,如果关联的 Route 53 运行状况检查显示状况正常,Shield Advanced 需要较大的偏差才会发出警报。
如果运行状况检查仅在您的应用程序运行在可接受的参数范围内时才报告运行状况正常,而仅在运行状况不佳时才报告运行状况不佳,那么使用 Shield Advanced 的运行状况检查将使您受益最大。使用本节中的指导在 Shield Advanced 中管理您的运行状况检查关联。
**注意**
Shield Advanced 不会自动管理您的运行状况检查。
使用 Shield Advanced 进行运行状况检查需要满足以下条件:
+ 将运行状况检查与 Shield Advanced 保护关联时,运行状况检查必须报告运行状况正常。
+ 运行状况检查必须与受保护资源的运行状况相关。您负责定义和维护运行状况检查,以根据应用程序的特定要求准确报告应用程序的运行状况。
+ 运行状况检查必须保持可用状态,以供 Shield Advanced 保护使用。不要删除您在 Route 53 中用于 Shield Advanced 保护的运行状况检查。
**Contents**
+ [使用 Shield Advanced 进行运行状况检查的最佳实践](health-checks-best-practices.md)
+ [CloudWatch Shield Advanced 中常用于健康检查的指标](health-checks-metrics.md)
+ [用于监控应用程序运行状况的指标](health-checks-metrics.md#health-checks-metrics-common)
+ [每种资源类型的亚马逊 CloudWatch 指标](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [将运行状况检查与受 Shield Advanced 保护的资源相关联](associate-health-check.md)
+ [取消运行状况检查与 Shield Advanced 保护资源的关联](disassociate-health-check.md)
+ [在 Shield Advanced 中查看运行状况检查关联状态](health-check-association-status.md)
+ [Shield Advanced 运行状况检查示例](health-checks-examples.md)
+ [亚马逊配 CloudFront 送](health-checks-examples.md#health-checks-example-cloudfront)
+ [负载均衡器](health-checks-examples.md#health-checks-example-load-balancer)
+ [Amazon EC2 弹性 IP 地址 (EIP)](health-checks-examples.md#health-checks-example-elastic-ip)
# 使用 Shield Advanced 进行运行状况检查的最佳实践
在 Shield Advanced 中创建和使用运行状况检查时,请遵循本节中的最佳实践。
+ 通过确定要监控的基础架构组件来规划运行状况检查。请考虑以下运行状况检查的资源类型:
+ 关键资源。
+ 任何您想在 Shield Advanced 检测和缓解中获得更高敏感度的资源。
+ 您希望 Shield Advanced 主动与您联系的资源。运行状况检查将为主动参与提供状态信息。
您可能想要监控的资源示例包括亚马逊 CloudFront分配、面向互联网的负载均衡器和 Amazon EC2 实例。
+ 使用尽可能少的通知来定义能够准确反映应用程序来源运行状况的运行状况检查。
+ 编写运行状况检查,这样只有当您的应用程序不可用或无法在可接受的参数范围内运行时,它们才会处于不健康状态。您负责根据应用程序的特定要求定义和维护运行状况检查。
+ 尽可能少地使用运行状况检查,同时仍能准确报告应用程序的运行状况。例如,来自应用程序多个区域的多个警报都报告了相同的问题,这可能会增加响应活动的运营费用,而不会增加信息价值。
+ 使用计算的运行状况检查,使用亚马逊 CloudWatch 指标的组合来监控应用程序的运行状况。例如,您可以根据应用程序服务器的延迟及其 5XX 错误率来计算组合运行状况,这表明原始服务器未完成请求。
+ 根据需要创建自己的应用程序运行状况指标并将其发布到 CloudWatch 自定义指标,并将其用于计算的运行状况检查。
+ 实施和管理您的运行状况检查,以改善检测并减少不必要的维护活动。
+ 在将运行状况检查与 Shield Advanced 保护关联之前,请确保其处于正常状态。关联报告运行状况不佳的运行状况检查可能会影响受保护资源的 Shield Advanced 检测机制。
+ 让您的运行状况检查可用于 Shield Advanced。不要删除您在 Route 53 中用于 Shield Advanced 保护的运行状况检查。
+ 仅使用暂存和测试环境来测试您的运行状况检查。仅为需要生产级性能和可用性的环境维护运行状况检查关联。不要在 Shield Advanced 中为暂存和测试环境维护运行状况检查关联。
# CloudWatch Shield Advanced 中常用于健康检查的指标
本节列出了运行状况检查中常用的亚马逊 CloudWatch 指标,这些指标用于衡量分布式拒绝服务 (DDoS) 事件期间的应用程序运行状况。有关每种资源类型的 CloudWatch 指标的完整信息,请参阅表格后面的列表。
**Topics**
+ [用于监控应用程序运行状况的指标](#health-checks-metrics-common)
+ [每种资源类型的亚马逊 CloudWatch 指标](#health-checks-protected-resource-metrics)
## 用于监控应用程序运行状况的指标
| 资源 | 指标 | 说明 |
| --- | --- | --- |
| Route 53 | `HealthCheckStatus` | 运行状况检查端点的状态。 |
| CloudFront | `5xxErrorRate` | HTTP 状态代码为 5XX 的所有请求的百分比。这表示正在影响应用程序的攻击。 |
| 应用程序负载均衡器 | `HTTPCode_ELB_5XX_Count` | 负载均衡器生成的 HTTP 5XX 客户端错误代码的数量。 |
| 应用程序负载均衡器 | `RejectedConnectionCount` | 由于负载均衡器达到连接数上限被拒绝的链接的数量。 |
| 应用程序负载均衡器 | `TargetConnectionErrorCount` | 负载均衡器和目标之间连接建立不成功的次数。 |
| 应用程序负载均衡器 | `TargetResponseTime` | 请求离开负载均衡器直至收到来自目标的响应所用的时间(以秒为单位)。 |
| 应用程序负载均衡器 | `UnHealthyHostCount` | 被视为未正常运行的目标数量。 |
| 亚马逊 EC2 | `CPUUtilization` | 当前正在使用的已分配 EC2 计算单元的百分比。 |
## 每种资源类型的亚马逊 CloudWatch 指标
有关受保护资源可用指标的更多信息,请参阅资源指南中的以下部分:
+ 亚马逊 Route 53 — [使用亚马逊 Route 53 运行状况检查和亚马逊 Route 53 开发者指南 CloudWatch中的亚马逊监控您的资源](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html)。
+ 亚马逊 CloudFront -[亚马逊 CloudFront 开发者指南 CloudWatch中的亚马逊监控 CloudFront ](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html)。
+ Application L [oad Balancer — 应用程序负载均衡器用户指南中应用程序负载均衡器的CloudWatch 指标](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)。
+ Network Load Balancer — [网络负载均衡器用户指南中您的网络负载均衡器的CloudWatch 指标](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)。
+ AWS Global Accelerator — AWS Global Accelerator在《 AWS Global Accelerator 开发者指南》中[使用亚马逊 CloudWatch ](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html)。
+ Amazon Elastic Compute Cloud — 在 https://docs.aws.amazon.com/AWSEC2/最新 UserGuide /中[列出您的实例的可用 CloudWatch 指标](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)。
+ Amazon A EC2 uto Scaling — A [mazon Auto Scaling 用户指南中的 A EC2 uto Scaling 组和实例的监控 CloudWatch 指标](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)。
# 将运行状况检查与受 Shield Advanced 保护的资源相关联
以下过程显示如何将 Amazon Route 53 运行状况检查与受保护资源相关联。
**注意**
在将运行状况检查与 Shield Advanced 保护关联之前,请确保其处于正常状态。有关信息,请参阅《Amazon Route 53 开发人员指南》中的[监控运行状况检查状态和获取通知](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html)。
**关联运行状况检查**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡上,选择要与运行状况检查关联的资源。
1. 选择**配置保护**。
1. 选择 “**下一步**”,直到进入 “**配置基于运行状况检查的 DDo S 检测-*可选***” 页面。
1. 在 **关联运行状况检查** 下,选择要与保护关联的运行状况检查的 ID。
**注意**
如果您没有看到所需的运行状况检查,请转到 Route 53 控制台并验证运行状况检查及其 ID。有关信息,请参阅[创建和更新运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 浏览其余页面,直到完成配置。在**保护**页面上,将列出您更新的资源运行状况检查关联。
1. 在**保护**页面上,检查您新关联的运行状况检查是否报告正常。
当运行状况检查报告运行状况不佳时,您无法成功开始在 Shield Advanced 中使用运行状况检查。这样做会导致 Shield Advanced 在非常低的阈值下检测到误报,还可能对 Shield Response Team (SRT) 为资源提供主动参与的能力产生负面影响。
如果新关联的运行状况检查报告运行状况不佳,请执行以下操作:
1. 在 Shield Advanced 中取消运行状况检查与您的保护的关联。
1. 在 Amazon Route 53 中重新查看您的运行状况检查规范,并验证您的整体应用程序性能和可用性。
1. 如果您的应用程序在运行状况正常的参数范围内运行,并且运行状况检查报告运行状况正常,请再次尝试在 Shield Advanced 中关联运行状况检查。
当您建立了新的运行状况检查关联并在 Shield Advanced 中报告运行状况正常后,运行状况检查关联程序即告完成。
# 取消运行状况检查与 Shield Advanced 保护资源的关联
以下过程说明如何解除 Amazon Route 53 运行状况检查与受保护资源的关联。
**取消运行状况检查的关联**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡上,选择要取消与运行状况检查关联的资源。
1. 选择**配置保护**。
1. 选择 “**下一步**”,直到进入 “**配置基于运行状况检查的 DDo S 检测-*可选***” 页面。
1. 在**关联运行状况检查**下,选择列为 **-** 的空选项。
1. 浏览其余页面,直到完成配置。
在**保护**页面上,您的资源的运行状况检查字段设置为 **-**,表示没有运行状况检查关联。
# 在 Shield Advanced 中查看运行状况检查关联状态
您可以在 AWS WAF 和 Shield 控制台的**受保护资源**页面和每个资源的详细信息页面上查看与保护相关的运行状况检查的状态。
+ **正常**:运行状况检查可用且报告运行状况正常。
+ **不佳**:运行状况检查可用且报告运行状况不佳。
+ **不可用**:运行状况检查对 Shield Advanced 不可用。
**解决**不可用**运行状况检查**
创建并使用新的运行状况检查。在运行状况检查在 Shield Advanced 中处于不可用状态后,不要再次尝试关联该检查。
有关执行这些步骤的详细指导,请参阅前面的主题。
1. 在 Shield Advanced 中,取消运行状况检查与资源的关联。
1. 在 Route 53 中,为资源创建新的运行状况检查并记下其 ID。有关信息,请参阅《Amazon Route 53 开发人员指南》中的[创建和更新运行状况检查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 在 Shield Advanced 中,将新的运行状况检查与资源关联。
# Shield Advanced 运行状况检查示例
本节显示了可以在计算的运行状况检查中使用的运行状况检查示例。计算后的运行状况检查使用多个单独的运行状况检查来确定组合状态。每项运行状况检查的状态取决于终端节点的运行状况或 Amazon CloudWatch 指标的状态。您可以将运行状况检查合并到计算的运行状况检查,然后配置计算运行状况检查,根据单个运行状况检查的合并运行状况检查来报告运行状况。根据您对应用程序性能和可用性的要求,调整计算运行状况检查的敏感度。
有关计算的运行状况检查的信息,请参阅 Amazon Route 53 开发人员指南中的[监控其他运行状况检查(计算出的运行状况检查)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated)。有关更多信息,请参阅博客文章 [Route 53 改进:计算运行状况检查和延迟检查](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/)。
**Topics**
+ [亚马逊配 CloudFront 送](#health-checks-example-cloudfront)
+ [负载均衡器](#health-checks-example-load-balancer)
+ [Amazon EC2 弹性 IP 地址 (EIP)](#health-checks-example-elastic-ip)
## 亚马逊配 CloudFront 送
以下示例描述了可以组合为 CloudFront 分配的计算运行状况检查的运行状况检查:
+ 通过为提供动态内容的分发上的路径指定域名来监控端点。运行状况响应将包括 HTTP 响应代码 2XX 和 3XX。
+ 监控正在测量 CloudFront 源站健康状况的 CloudWatch 警报的状态。例如,您可以维护有关 Application Load Balancer 指标的 CloudWatch 警报`TargetResponseTime`,并创建反映警报状态的运行状况检查。当从请求离开负载均衡器到负载均衡器收到来自目标的响应之间的响应时间超过警报中配置的阈值时,运行状况检查可能不佳。
+ 监控警报的状态,该 CloudWatch 警报衡量响应的 HTTP 状态代码为 5xx 的请求的百分比。如果 CloudFront 分布的 5xx 错误率高于 CloudWatch 警报中定义的阈值,则此运行状况检查的状态将切换为不健康。
## 负载均衡器
以下示例描述了可用于应用程序负载均衡器、网络负载均衡器或全局加速器标准加速器的计算运行状况检查的运行状况检查。
+ 监控警报的状态,该 CloudWatch 警报测量客户端与负载均衡器建立的新连接的数量。您可以将平均新连接数的警报阈值设置为比每天的平均值高出一定程度。每种资源类型的指标如下:
+ 应用程序负载均衡器:`NewConnectionCount`
+ 网络负载均衡器:`ActiveFlowCount`
+ 全局加速器:`NewFlowCount`
+ 对于 Application Load Balancer 和 Network Load Balancer,监控 CloudWatch 警报的状态,该警报用于衡量被认为运行状况良好的负载均衡器数量。您可以在可用区或负载均衡器所需的最低运行状况主机数上设置警报阈值。负载均衡器资源的可用指标如下:
+ 应用程序负载均衡器:`HealthyHostCount`
+ 网络负载均衡器:`HealthyHostCount`
+ 对于 Application Load Balancer,监控 CloudWatch 警报的状态,该警报测量负载均衡器目标生成的 HTTP 5xx 响应代码数量。对于应用程序负载均衡器,您可以使用指标 `HTTPCode_Target_5XX_Count`,并根据负载均衡器所有 5XX 错误的总和来设置警报阈值。
## Amazon EC2 弹性 IP 地址 (EIP)
以下示例运行状况检查可以合并到针对 Amazon EC2 弹性 IP 地址的计算运行状况检查中:
+ 为弹性 IP 地址指定 IP 地址,监控端点。只要能够与 IP 地址后面的资源建立 TCP 连接,运行状况检查就会保持正常状态。
+ 监控警报的状态,该 CloudWatch 警报用于衡量实例上当前正在使用的已分配 Amazon EC2 计算单元的百分比。您可以使用 Amazon EC2 指标,`CPUUtilization`并根据您认为应用程序的高 CPU 利用率(例如 90%)来设定警报阈值。
# 为 AWS 资源添加 AWS Shield Advanced 保护
按照本节中的指导,为一个或多个资源添加 Shield Advanced 保护。
**为 AWS 资源添加保护**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在导航窗格中, AWS Shield 选择受**保护的资源**。
1. 选择**添加要保护的资源**。
1. 在**选择要使用 Shield Advanced 保护的资源**页面的**指定区域和资源类型**中,提供要保护的资源的区域和资源类型规格。您可以通过选择**所有区域**来保护多个区域中的资源,也可以通过选择**全局**将选择范围缩小到全局资源。您可以取消选择任何不想保护的资源类型。有关您的资源类型保护的信息,请参阅 [AWS Shield Advanced 可保护的资源列表](ddos-protections-by-resource-type.md)。
1. 选择**加载资源**。Shield Advanced 会使用符合您条件的 AWS 资源填充**选择资源**部分。
1. 在**选择资源** 部分,您可以通过在资源列表中输入要搜索的字符串来筛选资源列表。
选择要保护的资源。
1. 在**标签**部分,如果要为正在创建的 Shield Advanced 保护添加标签,请指定这些标签。有关标记 AWS 资源的信息,请参阅[使用标签编辑器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 选择**使用 Shield Advanced 保护**。这为资源增加了 Shield Advanced 保护。
# 编辑 AWS Shield Advanced 保护
您可以随时更改 AWS Shield Advanced 保护设置。为此,您可以查看所选的保护选项,并修改需要更改的设置。
**管理受保护资源**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡中,选择要保护资源。
1. 选择所需的**配置保护**和资源规格选项。
1. 浏览每个资源保护选项,根据需要进行更改。
## 配置应用层 DDo S 保护
为了防范对 Amazon CloudFront 和 Application Load Balancer 资源的攻击,您可以添加 AWS WAF 网页ACLs 和添加基于速率的规则。有关此问题的信息,请参阅 [使用 AWS WAF Web ACLs 和 Shield Advanced 保护应用层](ddos-app-layer-web-ACL-and-rbr.md)。
您还可以启用 Shield Advanced 自动应用层 DDo S 缓解措施。有关 AWS WAF 工作原理的信息,请参阅[AWS WAF](waf-chapter.md)。有关自动缓解功能的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
**重要**
如果您通过 AWS Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。对于所有其他资源,我们建议至少为每个资源关联一个 Web ACL,即使该 Web ACL 不包含任何规则。
**注意**
当你为资源启用自动应用层 DDo S缓解时,如果需要,该操作会自动向你的账户添加服务相关角色,以授予Shield Advanced管理你的Web ACL保护所需的权限。有关信息,请参阅[使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)。
**配置应用层 DDo S 保护**
1. 在**配置 DDo第 7 层保护**页面中,如果资源尚未与 Web ACL 关联,则可以选择现有的 Web ACL 或创建自己的 Web ACL。
要创建 Web ACL,请执行以下操作:
1. 选择 **创建 web ACL**。
1. 输入名称。web ACL 在创建之后无法更改名称。
1. 选择**创建**。
**注意**
如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,则必须先 ACLs 从资源中移除关联的 Web。有关更多信息,请参阅 [将保护与资源关联或取消关联 AWS](web-acl-associating-aws-resource.md)。
1. 如果 Web ACL 未定义基于速率的规则,则可以选择**添加速率限制规则**,然后执行以下步骤来添加规则:
1. 输入名称。
1. 输入速率限制。这是在对 IP 地址应用基于速率的规则操作之前,在任何 5 分钟内允许来自任何单个 IP 地址的最大请求数。当来自该 IP 地址的请求低于限制时,该操作将停止。
1. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改一两分钟后生效。
1. 选择**添加规则**。
1. 对于**自动缓解应用层 DDo S**,请选择是否希望 Shield Advanced 代表您自动缓解 DDo S 攻击,如下所示:
+ 要启用自动缓解,请选择 “**启**用”,然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 AWS WAF 您的选择是 Count 和 Block。有关这些 AWS WAF 规则操作的信息,请参阅[在中使用规则操作 AWS WAF](waf-rule-action.md)。有关 Shield Advanced 如何管理此操作设置的信息,请参阅 [Shield Advanced 如何管理规则操作设置](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)。
+ 要禁用自动缓解,请选择**禁用**。
+ 要使您管理的资源的自动缓解设置保持不变,请保留默认选项**保持当前设置**。
有关 Shield Advanced 自动应用层 DDo S 缓解措施的信息,请参阅[使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
1. 选择**下一步**。
# 为采用 Shield Advanced 保护的资源创建警报和通知
以下过程说明如何管理受保护资源的 CloudWatch 警报。
**注意**
CloudWatch 会产生额外费用。有关 CloudWatch 定价,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)。
**创建警报和通知**
1. 在保护页面**创建警报和通知(*可选*)**中,为要接收的警报和通知配置 SNS 主题。对于不想接收通知的资源,请选择 **无主题**。可以添加一个 Amazon SNS 主题,也可以创建一个新的主题。
1. 要创建 Amazon SNS 主题,请执行以下步骤:
1. 从下拉列表中,选择**创建 SNS 主题**。
1. 输入主题名称。
1. 可选择输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择**添加电子邮件地址**。可以输入多个。
1. 选择**创建**。
1. 选择**下一步**。
# 移除对 AWS 资源的 AWS Shield Advanced 保护
您可以随时取消对任何 AWS 资源的 AWS Shield Advanced 保护。
**重要**
删除 AWS 资源并不会从中移除该资源 AWS Shield Advanced。您还必须从中移除对资源的保护 AWS Shield Advanced,如本过程所述。
**移除对 AWS 资源的 AWS Shield Advanced 保护**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护**选项卡中,选择要删除其保护的资源。
1. 选择**删除保护**。
1. 如果您为保护配置了 Amazon CloudWatch 警报,则可以选择删除警报和保护。如果您选择此时不删除警报,则可以在以后使用 CloudWatch 控制台将其删除。
**注意**
对于配置了 Amazon Route 53 运行状况检查的保护,如果稍后再次添加保护,则保护仍会包括该运行状况检查。
前面的步骤取消了对特定 AWS 资源的 AWS Shield Advanced 保护。他们不会取消您的 AWS Shield Advanced 订阅。您将继续为该服务付费。有关您的 AWS Shield Advanced 订阅的信息,请联系[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。
## 从 Shield 高级保护中移除 CloudWatch 警报
要从 Shield 高级防护中移除 CloudWatch 警报,请执行以下任一操作:
+ 删除保护,如[移除对 AWS 资源的 AWS Shield Advanced 保护](#remove-protection)中所述。请务必选中 “**同时删除相关 DDoSDetection 警报**” 旁边的复选框。
+ 使用 CloudWatch 控制台删除警报。要删除的警报的名称以开头**DDoSDetectedAlarmForProtection**。
# 对您的 AWS Shield Advanced 保护进行分组
使用保护组创建受保护资源的逻辑集合,并将其保护作为一个组进行管理。有关管理资源保护的信息,请参阅 [编辑 AWS Shield Advanced 保护](manage-protection.md)。
**注意**
自动应用层 DDo S 缓解不会与保护组交互。您可以为保护组中的资源启用自动缓解,但是 Shield Advanced 不会根据保护组的调查发现自动应用攻击缓解措施。Shield Advanced 会对单个资源进行自动攻击缓解。
AWS Shield Advanced 保护组通过将多个受保护资源视为一个单元,为您提供了一种自助服务方式,可以自定义检测和缓解的范围。资源分组可以带来许多好处。
+ 提高检测的准确性。
+ 减少不可操作的事件通知。
+ 扩大缓解措施的覆盖范围,将事件期间也可能受到影响的受保护资源包括在内。
+ 加快缓解多个相似目标攻击的时间。
+ 促进对新创建的受保护资源的自动保护。
在 blue/green 交换等情况下,保护组可以帮助减少误报,在这种情况下,资源在接近零负载和满载之间交替出现。另一种情况是,您在保持群组成员共享的负载水平的同时频繁创建和删除资源。对于此类情况,监控单个资源可能会导致误报,而监控资源组的运行状况则不会导致误报。
您可以将保护组配置为包括所有受保护的资源、特定资源类型的所有资源或单独指定的资源。满足保护组条件的新受保护资源将自动包含在您的保护组中。受保护资源可归属于多个保护组。
# 创建 Shield Advanced 保护组
**创建保护组**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 选择**保护组**选项卡,然后选择**创建保护组**。
1. 在**创建保护组**页面中,为您的组提供一个名称。您将使用此名称来标识受保护资源列表中的群组。在创建保护组后,您无法更改其名称。
1. 在**保护分组条件**中,选择您希望 Shield Advanced 用来标识要包含在组中的受保护资源的条件。根据您选择的条件进行其他选择。
1. 对于**聚合**,选择希望 Shield Advanced 如何合并群组的资源数据,以检测、缓解和报告事件。
+ **总计**:使用整个群组的总流量。对于大多数情况,这是一个很好的选择。示例包括用于手动或自动扩展的 Amazon EC2 实例的弹性 IP 地址。
+ **均值**:使用整个群组的平均流量。对于统一共享流量的资源,这是一个很好的选择。例如,加速器和负载均衡器。
+ **最大**:使用每个资源的最大流量。这对于不共享流量的资源以及以非统一方式共享流量的资源很有用。示例包括用于 CloudFront 分配的 Amazon CloudFront 分配和来源资源。
1. 选择**保存**以保存您的保护组并返回到**受保护资源**页面。
在 **Shield** **事件**页面中,您可以查看保护组的事件,并深入查看该组中受保护资源的其他信息。
# 更新 Shield Advanced 保护组
**更新保护组**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护组**选项卡中,选中要修改的保护组旁边的复选框。
1. 在保护组页面上,选择**编辑**。对保护组设置进行更改。
1. 选择 **保存** 以保存您的更改。
# 删除 Shield Advanced 保护组
**删除保护组**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**受保护的资源**。
1. 在**保护组**选项卡中,选中要删除的保护组旁边的复选框。
1. 在保护组的页面中,选择**删除**并确认操作。
# Tracking Shield 中的高级资源保护变化 AWS Config
本页介绍如何使用记录对资源 AWS Shield Advanced 保护的更改 AWS Config。然后,您可以使用此信息来维护配置更改历史记录以进行审核和故障排除。
要记录保护更改,请 AWS Config 为要跟踪的每个资源启用该选项。有关更多信息,请参阅《AWS Config 开发人员指南》**中的 [AWS Config入门](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)
您必须 AWS Config 为 AWS 区域 包含跟踪资源的每个资源启用。您可以 AWS Config 手动启用,也可以在《*CloudFormation 用户指南*》的 “[CloudFormation StackSets 示例 CloudFormation 模板 AWS Config](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html)” 中使用 “启用” 模板。
如果您启用 AWS Config,则会按[AWS Config 定价](https://aws.amazon.com/config/pricing/)页面上的详细信息向您收费。
**注意**
如果您已经 AWS Config 启用了必要的区域和资源,则无需执行任何操作。 AWS Config 有关资源保护更改的日志开始自动填充。
启用后 AWS Config,使用 AWS Config 控制台中的美国东部(弗吉尼亚北部)区域查看 AWS Shield Advanced 全球资源的配置更改历史记录。
通过 AWS Config 控制台查看美国东部(弗吉尼亚北部)、美国东部(俄亥俄州)、美国西部(俄勒冈)、美国西部(加利福尼亚北部)、欧洲(爱尔兰)、欧洲(法兰克福)、亚太地区(东京)和亚太地区(悉尼) AWS Shield Advanced 区域资源的变更历史记录。
# 使用 Shield Advanced 查看 DDo S 事件
AWS Shield 提供对以下类别的事件和事件活动的可见性:
+ **全局**:所有客户都可以访问过去两周全局威胁活动的汇总视图。您可以在控制台的 “**入门**” 和 “**全球威胁” AWS Shield 控制面板**页面下看到此信息。有关更多信息,请参阅 [查看 AWS Shield 全球活动和账户活动](ddos-standard-event-visibility.md)。
+ **账户**:所有客户都可以访问其账户上一年度的事件摘要。您可以在 AWS Shield 控制台的 “**入门**” 页面下看到此信息。有关更多信息,请参阅 [查看 AWS Shield 全球活动和账户活动](ddos-standard-event-visibility.md)。
当您订阅 Shield Advanced 并为您的资源添加保护时,您可以访问有关受保护资源的事件和 DDo S 攻击的其他信息:
+ **受保护资源上的事件** — Shield Advanced 通过 AWS Shield 控制台的 “**事件**” 页面提供每个事件的详细信息。有关更多信息,请参阅 [查看 AWS Shield Advanced 事件](ddos-events.md)。
+ **受保护资源的事件指标** — Shield Advanced 会发布其保护的所有资源的检测、缓解和主要贡献者 Amazon CloudWatch 指标。您可以使用这些指标来配置 CloudWatch 仪表板和警报。有关更多信息,请参阅 [AWS Shield Advanced 指标](shield-metrics.md)。
+ **受保护资源的跨账户事件可见性** — 如果您使用 AWS Firewall Manager 管理您的 Shield Advanced 防护,则可以通过将 Firewall Manager 与 AWS Security Hub CSPM结合使用来启用跨多个帐户的保护可见性。有关更多信息,请参阅 [AWS 账户 使用 AWS Firewall Manager 和查看多个 Shield 高级赛事 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)。
如果您为应用层保护启用自动应用层 DDo S 缓解,Shield Advanced 会在您的保护包(Web ACL)中添加一个规则组,用于管理自动保护。此规则组生成 AWS WAF 指标,但无法查看。这与您在保护包 (Web ACL) 中使用但不拥有的任何其他规则组相同,例如 AWS 托管规则规则组。有关 AWS WAF 指标的更多信息,请参阅[AWS WAF 指标和维度](waf-metrics.md)。有关该 Shield Advanced 保护选项的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
**Topics**
+ [查看 AWS Shield 全球活动和账户活动](ddos-standard-event-visibility.md)
+ [查看 AWS Shield Advanced 事件](ddos-events.md)
+ [AWS 账户 使用 AWS Firewall Manager 和查看多个 Shield 高级赛事 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)
# 查看 AWS Shield 全球活动和账户活动
本页面提供了在控制台 “入**门**” 和 “全球威胁 AWS Shield 控制**面板” 页面中访问全球威胁**活动汇总视图和每个账户的事件摘要的说明。
以下屏幕截图显示一个**开始使用**页面示例。
![\[AWS Shield 控制台显示入门页面,其中包含全球威胁和账户事件摘要窗格。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-global-account.png)
**访问控制 AWS Shield 台**
+ 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
您无需订阅 Shield Advanced 即可访问全局活动和账户活动摘要信息。
**全局活动**
此信息可通过控制台的 “**全球威胁” AWS Shield 控制面板**和 “**入门**” 页面获得。以下屏幕截图显示了全局活动窗格的一个示例。
![\[标题为 “Shield 检测到的全球活动” 的 AWS Shield 控制台窗格显示了世界地图,上面叠加了过去两周检测到全球威胁的区域的热图标记。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-global-activity.png)
全球活动描述了在所有 AWS 客户中观察到的 DDo S 事件。每小时 AWS 更新一次,更新前两周的信息。在控制台窗格中,您可以看到按 AWS 区域划分并显示在世界热图上的结果。在地图旁边,Shield 显示摘要信息,例如最大数据包攻击、最大比特率、最常见矢量、攻击总数和威胁级别。威胁级别是对当前全局活动与 AWS 通常观察到的活动进行比较的评估。默认威胁级别值为 “正**常**”。 AWS **对于提升的 DDo S 活动,自动将该值更新为 “高”。**
**全局威胁控制面板**还提供时间序列指标,使您能够在持续时间之间进行更改。要查看重大 DDo S 攻击的历史记录,您可以自定义仪表板以查看从过去一天到最近两周的视图。时间序列指标提供了在您选择的时间窗口内为正在运行的应用程序检测到的所有事件的最大比特率、数据包速率或请求速率的视图。 AWS Shield AWS
**账户活动**
此信息可在 AWS Shield 控制台的 “**入门**” 页面中找到。
以下屏幕截图显示了账户活动窗格的一个示例。
![\[名为 Shield 检测到的账户活动的 AWS Shield 控制台窗格列出了过去一年的事件摘要,其中包含事件总数、最大数据包速率和请求速率等信息。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-account-activity.png)
账户活动描述了 Shield 为你的资源检测到的符合 Shield Advanced 保护条件的 DDo S 个事件。每天,Shield 都会为截至前一天 00:00 UTC 的年度创建摘要指标,然后显示事件总数、最大比特率、最大数据包速率和最大请求速率。
+ 事件总数指标反映了 Shield 每次在发往您的应用程序的流量中观察到的可疑属性。可疑属性可能包括高于正常水平的流量、与应用程序的历史配置文件不匹配的流量,或者与 Shield 为有效应用程序流量定义的启发式方法不匹配的流量。
+ 每种资源都有最大比特率和最大数据包速率统计信息。
+ 最大的请求率统计数据仅适用于具有关联 AWS WAF Web ACL 的 Amazon CloudFront 分配和应用程序负载均衡器。
**注意**
您还可以通过 AWS Shield API 操作访问账户级别的事件摘要[DescribeAttackStatistics](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html)。
# 查看 AWS Shield Advanced 事件
本页提供了有关在 Shield Advanced 中访问事件相关信息的说明。
当您订阅 Shield Advanced 并保护您的资源时,您就可以访问资源的其他可见性功能。其中包括对 Shield Advanced 检测到的事件的近实时通知,以及有关检测到的事件和缓解措施的其他信息。
**注意**
Shield Advanced 控制台中的事件信息建立在 Shield Advanced 指标之上。有关 Shield Advanced 指标的信息,请参阅 [AWS Shield Advanced 指标](shield-metrics.md)
AWS Shield 从多个维度评估流向受保护资源的流量。当检测到异常时,Shield Advanced 会为每个受影响的资源创建一个单独的事件。
您可以通过 Shield 控制台的**事件**页面访问事件摘要和详细信息。顶级**事件**页面概述了当前和过去的事件。
以下屏幕截图显示了一个**事件**页面示例,其中有一个正在进行的事件。左侧导航窗格中也会标记此活跃事件。
![\[AWS Shield 控制台左侧导航窗格的 “事件” 选项以红色突出显示,旁边有一个数字 1,位于红色圆圈内。事件页面已打开,并在事件列表中显示一行。该行列出了 CloudFront 分布类型的 AWS 资源。当前状态字段在正在进行缓解字样旁边包含一个三角形的红色图标。攻击向量状态字段包含 UDP 流量。开始时间字段包含 2020 年 9 月 16 日美国东部标准时间下午 2:43:00。持续时间字段包含 6 分钟。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-event-summary1.png)
Shield Advanced 还可能自动缓解攻击,具体取决于流量类型和您配置的保护措施。这些缓解措施可以保护您的资源免受超额流量或与已知 DDo S 攻击特征相匹配的流量。
以下屏幕截图显示了一个**事件**列表示例,其中所有事件均已由 Shield Advanced 缓解或自行消退。
![\[名为 “事件” 的 AWS Shield 控制台页面列出了最近检测到的事件及其当前状态。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-events.png)
**在活动开始前保护您的资源**
使用 Shield Advanced 在资源接收到正常预期流量时,在遭受 DDo S 攻击之前,使用 Shield Advanced 对其进行保护,从而提高事件检测的准确性。
为了准确报告受保护资源的事件,Shield Advanced 必须首先为其建立预期流量模式的基准。
+ Shield Advanced 会在资源受到保护至少 15 分钟后报告基础设施层事件。
+ Shield Advanced 会在资源受到保护至少 24 小时后报告资源的 Web 应用程序层事件。在 Shield Advanced 观察到预期流量 30 天后,应用程序层事件的检测精度最高。
**在 AWS Shield 控制台中访问事件信息**
1. 登录 AWS 管理控制台 并打开 AWS WAF & Shield 控制台,网址为[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/)。
1. 在 AWS Shield 导航窗格中,选择**事件**。控制台显示**事件**页面。
1. 在**事件**页面中,您可以选择列表中的任何事件,以查看该事件的其他摘要信息和详细信息。
**Topics**
+ [AWS Shield Advanced 活动摘要中的字段列表](ddos-event-summaries.md)
+ [查看 AWS Shield Advanced 活动详情](ddos-event-details.md)
# AWS Shield Advanced 活动摘要中的字段列表
本页列出并定义了 Shield Advanced 事件摘要中的字段。
您可以在活动的控制台页面中查看活动的摘要和详细信息。要打开活动页面,请从 “**活动**” 页面列表中选择其 AWS 资源名称。
以下屏幕截图显示了网络层事件的示例事件摘要。
![\[AWS Shield 控制台事件页面的摘要窗格列出了事件的信息,包括受影响的 AWS 资源、攻击媒介、开始和结束时间以及缓解和状态信息。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-event-summary2.png)
活动页面摘要信息包含以下内容:
+ **当前状态**:表示事件状态以及 Shield Advanced 对事件采取的操作的值。状态值适用于基础设施层(第 3 层或第 4 层)和应用程序层(第 7 层)事件。
+ **已识别(进行中)**和**已识别(已消退)**:表明 Shield Advanced 检测到了事件,但到目前为止尚未对其采取任何行动。**已识别(消退)**表示 Shield 检测到的可疑流量在没有干预的情况下停止活动。
+ **正在进行缓解**和**已缓解**:表明 Shield Advanced 检测到事件并已对其采取措施。**当目标资源是 Amazon CloudFront 分配或 Amazon Route 53 托管区域(它们有自己的自动内联缓解措施)时,也可以使用缓解措施。**
+ **攻击向量** — DDo S 攻击向量,例如 TCP SYN 洪水和 Shield 高级检测启发式方法,例如请求洪水。这些可能是 DDo S 攻击的迹象。
+ **开始时间**:检测到第一个异常流量数据点的日期和时间。
+ **持续时间或结束时间**:表示从事件开始时间到 Shield Advanced 观察到的最后一个异常数据点之间的时间间隔。在活动进行期间,这些值将继续增加。
+ **保护**:命名与资源关联的 Shield Advanced 保护,并提供指向其保护页面的链接。这可在单个活动的页面上找到。
+ **自动应用层 DDo S 缓解** — 用于应用层保护,以指示是否为资源启用了 Shield Advanced 自动应用层 DDo S 缓解。如果已启用,则会提供访问和管理配置的链接。这可在单个活动的页面上找到。
+ **网络层自动缓解**:表示资源在网络层是否具有自动缓解功能。如果资源具有网络层组件,则它将启用该组件。该信息可在单个活动的页面上找到。
对于经常成为攻击目标的资源,Shield 可能会在过剩流量消退后保留缓解措施,以防止事件再次发生。
**注意**
您还可以通过 AWS Shield API 操作访问受保护资源的事件摘要[ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html)。
# 查看 AWS Shield Advanced 活动详情
您可以在事件控制台页面的底部查看有关事件检测、缓解和主要贡献者的详细信息。此部分可能包括合法流量和潜在有害流量的组合,可能既代表传递到受保护资源的流量,也代表被 Shield 缓解措施阻止的流量。
+ **检测和缓解**:提供有关观察到的事件以及针对该事件采取的任何缓解措施的信息。有关事件缓解的信息,请参阅 [在中响应 DDo S 事件 AWS](ddos-responding.md)。
+ **排名靠前的贡献者**:对活动中涉及的流量进行分类,并列出 Shield 为每个类别确定的主要流量来源。对于应用层事件,请使用排名靠前的贡献者信息来大致了解事件的性质,但要使用 AWS WAF 日志来做出安全决策。有关更多信息,请参阅下面的部分。
Shield Advanced 控制台中的事件信息建立在 Shield Advanced 指标之上。有关 Shield Advanced 指标的信息,请参阅 [AWS Shield Advanced 指标](shield-metrics.md)
Amazon CloudFront 或 Amazon Route 53 资源的缓解指标不包括在内,因为这些服务受缓解系统的保护,该系统始终处于启用状态,不需要对单个资源进行缓解。
详细信息部分根据信息是针对基础设施层还是应用程序层事件而有所不同。
**Topics**
+ [在 Shield Advanced 中查看应用程序层(第 7 层)事件详情](ddos-event-details-application-layer.md)
+ [在 Shield Advanced 中查看基础设施层(第 3 或 4 层)事件详情](ddos-event-details-infrastructure-layer.md)
# 在 Shield Advanced 中查看应用程序层(第 7 层)事件详情
您可以在事件控制台页面的底部查看有关应用程序层事件的检测、缓解和主要贡献者的详细信息。此部分可能包括合法流量和潜在有害流量的组合,可能既代表传递到受保护资源的流量,也代表被 Shield Advanced 缓解措施阻止的流量。
缓解详情适用于与资源关联的 Web ACL 中的所有规则,包括专门为响应攻击而部署的规则以及在 Web ACL 中定义的基于速率的规则。如果您为应用程序启用自动应用层 DDo S缓解,则缓解指标将包括这些额外规则的指标。有关这些应用程序层保护的信息,请参阅 [使用和保护应用层(第 7 层) AWS Shield Advanced AWS WAF](ddos-app-layer-protections.md)。
## 检测和缓解
对于应用层(第 7 层)事件,“**检测和缓解**” 选项卡显示基于从 AWS WAF 日志中获取的信息的检测指标。缓解指标基于关联 Web ACL 中的 AWS WAF 规则,这些规则配置为阻止不需要的流量。
对于亚马逊 CloudFront 分配,您可以将 Shield Advanced 配置为自动为您应用缓解措施。对于任何应用程序层资源,您都可以选择在 Web ACL 中定义自己的缓解规则,也可以向 Shield 响应小组 (SRT) 请求帮助。有关这些选项的信息,请参阅 [在中响应 DDo S 事件 AWS](ddos-responding.md)。
以下屏幕截图显示了应用程序层事件的检测指标示例,该事件在数小时后消退。
![\[检测指标图表显示了从 11:30 到 16:00 消退的请求泛洪流量检测情况。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-app-detection-metrics.png)
在缓解规则生效之前消退的事件流量不会显示在缓解指标中。这可能会导致检测图中显示的 Web 请求流量与缓解图表中显示的允许和阻止指标之间存在差异。
## 排名靠前的贡献者
应用层事件的**热门贡献者**选项卡显示 Shield 根据检索到的 AWS WAF 日志为该事件确定的前 5 个贡献者。Shield 按来源 IP、来源国家和目标 URL 等维度对排名靠前的贡献者的信息进行分类。
**注意**
要获得有关导致应用层事件的流量的最准确信息,请使用日 AWS WAF 志。
Shield 应用程序层排名靠前的贡献者信息应仅用于大致了解攻击的性质,不要据此做出安全决策。对于应用层事件, AWS WAF 日志是了解攻击的起因者和制定缓解策略的最佳信息来源。
Shield 贡献率最高的信息并不总是能完全反映 AWS WAF 日志中的数据。在摄取日志时,Shield 优先考虑减少对系统性能的影响,而不是从日志中检索完整的数据集。这可能会导致 Shield 可用于分析的数据的粒度丢失。在大多数情况下,大多数信息都是可用的,但是对于任何攻击,排名靠前的贡献者数据都可能在一定程度上存在偏差。
以下屏幕截图显示了应用程序层事件的**排名靠前的贡献者**选项卡示例。
![\[应用程序层事件的排名靠前的贡献者选项卡描述了许多 Web 请求特征的前 5 名贡献者。屏幕显示前 5 个来源 IP 地址、前 5 个目的地 URLs、前 5 个来源国家和前 5 个用户代理。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-app-event-top-contributors.png)
贡献者信息基于对合法流量和潜在有害流量的请求。数据量较大的事件和请求源分布不高的事件更有可能具有可识别的排名靠前的贡献者。显著分布式攻击可能有多种来源,因此很难确定攻击的主要贡献者。如果 Shield Advanced 未识别出特定类别的重要贡献者,则会将数据显示为不可用。
# 在 Shield Advanced 中查看基础设施层(第 3 或 4 层)事件详情
您可以在事件控制台页面的底部查看有关基础设施层事件的检测、缓解和主要贡献者的详细信息。此部分可能包括合法流量和潜在有害流量的组合,可能既代表传递到受保护资源的流量,也代表被 Shield 缓解措施阻止的流量。
## 检测和缓解
对于基础设施层(第 3 层或第 4 层)事件,**检测和缓解**选项卡显示基于采样网络流的检测指标和基于缓解系统观察到的流量的缓解指标。缓解指标可以更精确地衡量进入您的资源的流量。
Shield 会自动为受保护的资源类型创建缓解措施:弹性 IP (EIP)、Classic Load Balancer (CLB)、应用程序负载均衡器 (ALB) 和 AWS Global Accelerator 标准加速器。EIP 地址和 AWS Global Accelerator 标准加速器的缓解指标表示通过和丢弃的数据包数量。
以下屏幕截图显示了基础设施层事件的**检测和缓解**选项卡示例。
![\[网络事件的检测和缓解图表显示,检测指标中的 SYN 泛洪和数据包泛洪流量不断增加,而缓解指标中的缓解措施在几秒钟后丢弃流量。经过大约三十秒的缓解措施后,流量泛洪停止。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)
在 Shield 实施缓解措施之前消退的事件流量不包含在缓解指标中。这可能会导致检测图中显示的流量与缓解图表中显示的通过和丢弃指标之间存在差异。
## 排名靠前的贡献者
基础设施层事件的**排名靠前的贡献者**选项卡列出了多个流量维度上最多 100 个排名靠前的贡献者的指标。详细信息包括可以识别出至少五个重要流量来源在任何维度的网络图层属性。流量来源的示例包括源 IP 和源 ASN。
以下屏幕截图显示了基础架构层事件的**排名靠前的贡献者**选项卡示例。
![\[网络事件的排名靠前的贡献者选项卡显示了对该活动贡献最大的流量类别。在本例中,类别包括按协议划分的数据量、按协议和目标端口划分的数据量、按协议和源 ASN 划分的数据量以及按 TCP 标志划分的数据量。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-network-event-top-contributors.png)
贡献者指标基于对合法流量和潜在有害流量的采样网络流量。数据量较大的事件和流量来源不高度分布的事件更有可能具有可识别的最大贡献者。显著分布式攻击可能有多种来源,因此很难确定攻击的主要贡献者。如果 Shield 未识别出特定指标或类别的任何重要贡献者,则会将数据显示为不可用。
在基础设施 DDo S 层攻击中,流量源可能会被欺骗或反射。欺骗源是攻击者故意伪造的。反射源是检测到的流量的真正来源,但它不是攻击的自愿参与者。例如,攻击者可能会将攻击从互联网上通常合法的服务中反射出来,从而向目标生成大量的放大流量。在这种情况下,源信息可能有效,但它不是攻击的实际来源。这些因素可能会限制基于数据包标头的阻止源的缓解技术的可行性。
# AWS 账户 使用 AWS Firewall Manager 和查看多个 Shield 高级赛事 AWS Security Hub CSPM
您可以使用 AWS Firewall Manager 和 AWS Security Hub CSPM 来管理和监控多个账户中的 AWS Shield Advanced 受保护资源。
使用 Firewall Manager,您可以创建 Shield Advanced 安全策略,用于报告和强制所有账户的 DDo S 防护合规性。Firewall Manager 会监控您的受保护资源,包括为属于 Shield Advanced 策略范围的新资源添加保护。
当防火墙管理器识别出不符合你的 Shield Advanced 安全策略的资源时,你可以将 Firewall Manager 与 AWS Security Hub CSPM 集成,获得一个控制面板,用于报告 Shield Advanced 和 Firewall Manager 合规性发现检测到的 DDo S 事件。
下图描绘了使用 Firewall Manager 和 Security Hub CSPM 监控 Shield Advanced 受保护资源的典型架构。
![\[图的顶部是一个图 AWS Organizations 标。它有一个指向下方的箭头,该箭头分开后指向两个并排的图标。左边的图标有标题 Production OU,右边的图标有标题 Security OU。这些图标下方有三个图标,标题从左到右: AWS Shield Advanced AWS Firewall Manager、和 AWS Security Hub CSPM。生产 OU 图标有一个向下指向 Shield Advanced 图标的箭头。安全 OU 图标有一个向下的箭头,该箭头分开指向 Firewall Manager 和 Security Hub CSPM 图标。Shield Advanced 图标有一个向下指向带有标题的矩形的箭头 Shield Advanced protected resources。矩形内有 Application Load Balancer、 CloudFront分布和弹性 IP 地址的图标。Firewall Manager 图标还有一个向下指向 Shield Advanced protected resources 矩形的箭头,它带有标签 Enforces compliance of protected resources。Shield Advanced 图标有一个水平箭头,指向标有 DDoS alarm Firewall Manager 图标。Firewall Manager 图标的右侧有一个水平箭头,指向标有 Security Hub CSPM 图标。DDoS alarm and compliance findings\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-arch-fms-ash-integration.png)
当你将 Firewall Manager 与 Security Hub CSPM 集成时,你可以在一个地方查看安全发现,以及你运行的应用程序的其他警报和合规状态信息。 AWS
以下屏幕截图突出显示了当你进行此类集成时,你可以在 Security Hub CSPM 控制台中看到的 Shield Advanced 事件的信息。
![\[屏幕截图显示了 Security Hub CSPM 控制台的 “调查结果” 页面,副标题为 “发现是安全问题或安全检查失败”。 。该部分有红色轮廓突出显示字符串:标题 EQUALS Shield Advanced 检测到针对受监控资源的攻击和产品名称 EQUAL Firewall Manager。屏幕显示了有关特定攻击及其状态的一组详细信息。\]](http://docs.aws.amazon.com/zh_cn/waf/latest/developerguide/images/shield-console-security-hub-event.png)
要了解如何将 Firewall Manager 和 Security Hub CSPM 与 Shield Advanced 集成,以便在受保护的账户中集中监控事件和合规性,请参阅 AWS 安全博客[为 DDo S 事件设置集中监控并自动修复不合规的](https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/)资源。
# 在中响应 DDo S 事件 AWS
本页说明了如何 AWS 响应 DDo S 攻击,并提供了如何进一步响应的选项。
AWS 自动缓解网络和传输层(第 3 层和第 4 层)的攻击DDo。如果您使用 Shield Advanced 来保护您的亚马逊 EC2 实例,则在攻击期间,Shield Advanced 会自动将您的 Amazon VPC 网络部署 ACLs 到 AWS 网络边界。这使得 Shield Advanced 能够针对较大 DDo的 S 事件提供保护。有关网络的更多信息 ACLs,请参阅[网络ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
对于应用层(第 7 层) DDo的攻击, AWS 尝试检测并通过 CloudWatch 警报通知 AWS Shield Advanced 客户。默认情况下,它不会自动应用缓解措施,以避免无意中阻止有效的用户流量。
对于应用程序层(第 7 层)资源,您可以使用以下选项来响应攻击。
+ **提供您自己的缓解措施**:您可以自行调查和缓解攻击。有关信息,请参阅[手动缓解应用层 DDo S 攻击](ddos-responding-manual.md)。
+ **联系支持人员**:如果您是 Shield Advanced 客户,可以联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)寻求缓解方面的帮助。危急和紧急病例直接转交给 DDo S专家。有关信息,请参阅[在应用层 DDo S 攻击期间联系支持中心](ddos-responding-contact-support.md)。
此外,在攻击发生之前,您可以主动启用以下缓解选项:
+ **对亚马逊 CloudFront 分发进行自动缓解** — 使用此选项,Shield Advanced 可以在您的网络 ACL 中为您定义和管理缓解规则。有关应用程序层自动缓解的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
+ **主动参与** — 当 AWS Shield Advanced 检测到针对您的一个应用程序的大型应用程序层攻击时,SRT 可以主动与您联系。SRT 会对 DDo S 事件进行分类并创建 AWS WAF 缓解措施。SRT 会与您联系,并且经您同意,可以适用 AWS WAF 规则。有关此选项的更多信息,请参阅 [设置主动参与,让 SRT 直接与您联系](ddos-srt-proactive-engagement.md)。
# 在应用层 DDo S 攻击期间联系支持中心
本页提供了在应用层 DDo S 攻击期间联系支持中心的说明。
如果您是 AWS Shield Advanced 客户,可以联系[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)寻求缓解方面的帮助。危急和紧急病例直接转交给 DDo S专家。因此 AWS Shield Advanced,复杂的案例可以上报给在保护 AWS Amazon.com 及其子公司方面拥有丰富经验的 AWS Shield 响应小组 (SRT)。有关 SRT 的更多信息,请参阅 [支持 Shield 响应小组 (SRT) 的托管 DDo S 事件响应](ddos-srt-support.md)。
要获得 Shield 响应小组 (SRT) 支持,请联系 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)。对您的案例的响应时间取决于您选择的严重性以及 [AWS 支持 计划](https://aws.amazon.com/premiumsupport/compare-plans/)页面中记录的响应时间。
选择以下选项:
+ 案例类型:技术支持
+ 服务:分布式拒绝服务 (DDoS)
+ 类别:入境至 AWS
+ 严重性: *选择适当的选项*
在与我们的代表讨论时,请说明您是可能遭受 DDo S 攻击的 AWS Shield Advanced 客户。我们的代表会将您的电话转给相应的 DDo S 专家。如果您使用**分布式拒绝服务 (DDoS) 服务**类型向[AWS 支持 中心](https://console.aws.amazon.com/support/home#/)提交案例,则可以通过聊天或电话直接与 DDo S 专家交谈。 DDoS 支持工程师可以帮助您识别攻击、推荐 AWS 架构改进建议,并指导如何使用 AWS 服务缓解 DDo S 攻击。
对于应用程序层攻击,SRT 可以帮助您分析可疑活动。如果您为资源启用了自动缓解功能,SRT 可以审查 Shield Advanced 自动针对攻击采取的缓解措施。无论如何,SRT 可以帮助您审查和缓解问题。SRT 建议的缓解措施通常要求 SRT 在您的账户中创建或更新 AWS WAF 网络访问控制列表 (Web ACLs)。要完成这项工作,SRT 需要首先获得您的许可。
**重要**
我们建议在启用过程中 AWS Shield Advanced,按照中的步骤主动[向 SRT 授予访问权限](ddos-srt-access.md)向 SRT 提供他们在攻击期间为您提供帮助所需的权限。提前提供授权有助于防止在实际发生攻击时耽误问题的解决。
SRT 可帮助您对 DDo S 攻击进行分类,以识别攻击特征和模式。经您同意,SRT 会创建并部署 AWS WAF 规则来缓解攻击。
您也可以在可能的攻击前或在攻击期间联系 SRT,以便审查缓解措施并开发和部署自定义缓解措施。例如,如果您正在运行一个 Web 应用程序且只需打开端口 80 和 443,您可以与 SRT 一起预先配置一个 Web ACL,只“允许”打开端口 80 和 443。
您在账户级别授权和联系 SRT。也就是说,如果您在 Firewall Manager Shield Advanced 策略中使用 Shield Advanced,则必须由账户所有者(而不是 Firewall Manager 管理员)联系 SRT 寻求支持。Firewall Manager 管理员只能为他们拥有的账户联系 SRT。
# 手动缓解应用层 DDo S 攻击
本页提供手动缓解应用层 DDo S 攻击的说明。
如果您确定资源的事件页面中的活动代表 DDo S 攻击,则可以在 Web ACL 中创建自己的 AWS WAF 规则来缓解攻击。如果您不是 Shield Advanced 客户,这是唯一可用的选项。 AWS WAF 包含 AWS Shield Advanced 在内,无需支付额外费用。有关在 Web ACL 中创建规则的更多信息,请参阅 [在中配置保护 AWS WAF](web-acl.md)。
如果您使用 AWS Firewall Manager,则可以将您的 AWS WAF 规则添加到 Firewall Manager AWS WAF 策略中。
**手动缓解潜在的应用层 DDo S 攻击**
1. 在 Web ACL 中创建符合异常行为的标准的规则语句。首先,将它们配置为对匹配请求进行计数。有关配置 Web ACL 和规则语句的信息,请参阅 [使用包含规则和规则组的保护包 (Web ACLs) AWS WAF](web-acl-processing.md) 和 [测试和调整您的 AWS WAF 保护措施](web-acl-testing.md)。
**注意**
请务必先使用规则操作 Count 而不是 Block 来测试您的规则。在您认为新规则能确定正确的请求后,便可以修改规则以阻止这些请求。
1. 监控请求计数以确定是否要阻止匹配的请求。如果请求量仍然异常高,并且您确信自己的规则正在捕获导致大量流量的请求,请更改 Web ACL 中的规则以阻止这些请求。
1. 继续监控事件页面,确保您的流量按您期望的方式进行处理。
AWS 提供了预配置的模板以帮助您快速入门。这些模板包含一组 AWS WAF 规则,您可以自定义这些规则,并使用这些规则来阻止常见的基于 Web 的攻击。有关更多信息,请参阅 [AWS WAF 安全自动化](https://aws.amazon.com/solutions/aws-waf-security-automations/)。
# 攻击发生 AWS Shield Advanced 后申请积分
如果您订阅了 S 攻击, AWS Shield Advanced 并且遇到 DDo S 攻击,从而提高了 Shield Advanced 受保护资源的利用率,则可以申请 Shield Advanced 服务积分,以支付与使用率提高相关的费用,前提是盾牌高级版无法缓解该费用。
**注意**
您只能将通过此流程获得的任何积分应用于 Shield Advanced 的使用。Shield Advanced 积分不能与其他服务一起使用。
积分仅适用于以下类型的费用:
+ Shield Advanced 数据传出
+ 亚马逊 CloudFront HTTP/HTTPS 请求
+ CloudFront 数据传出
+ Amazon Route 53 查询
+ AWS Global Accelerator 标准加速器数据传输
+ 应用程序负载均衡器的负载均衡器容量单位
+ 受保护的 Amazon Elastic Compute Cloud (Amazon EC2) 实例的实例成本,这些实例是由自动扩展策略为应对攻击而创建的
**申请积分的先决条件**
要获得获得积分的资格,您必须攻击开始之前完成以下操作:
+ 为要申请积分的资源添加了 Shield Advanced 保护。攻击期间添加的受保护资源不适用成本保护。
**注意**
在你的上启用 Shield Advanced AWS 账户 不会自动为单个资源启用 Shield 高级保护。
有关如何使用 Shield Advanced 保护 AWS 资源的更多信息,请参阅[为 AWS 资源添加 AWS Shield Advanced 保护](configure-new-protection.md)。
+ 对于适用 CloudFront 且受 Application Load Balancer 保护的资源,您必须已关联 AWS WAF Web ACL,并在Block模式下在 Web ACL 中实现基于速率的规则。有关 AWS WAF 基于速率的规则的更多信息,请参阅 [在中使用基于费率的规则语句 AWS WAF](waf-rule-statement-type-rate-based.md)。有关如何将 Web ACLs 与 AWS 资源关联的信息,请参阅[在中配置保护 AWS WAF](web-acl.md)。
+ 您必须在 [ DDoS Resiliency AWS 最佳实践中实施了适当的最佳实践](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency),才能以最大限度地降低 DDo S 攻击期间成本的方式配置应用程序。
**如何申请积分**
要获得积分资格,您必须在攻击发生的账单月份之后的 15 天内立即提交积分申请。
要申请积分,请通过 [AWS 支持 中心](https://console.aws.amazon.com/support/home#/)提交账单案例。您的请求应包括以下内容:
+ 主题行中的 “DDoS 让步” 字样
+ 您申请积分的每项事件或可用性中断的日期和时间
+ 受影响的 AWS 服务和特定资源
在您提交请求后, AWS Shield 响应小组 (SRT) 将验证是否发生了 DDo S 攻击,如果发生了,则验证是否有任何受保护的资源可以吸收 DDo S 攻击。如果 AWS 确定受保护的资源已扩展以吸收 DDo S 攻击,则 AWS 将为 AWS 确定由 DDo S 攻击引起的那部分流量发放积分。服务抵扣金额有效期为 12 个月。
# 您使用 AWS Shield 服务的安全性
本节说明了分担责任模型的适用方式 AWS Shield。
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
**注意**
本节为你使用 AWS Shield 服务及其 AWS 资源(例如 Shield Advanced 保护)提供标准 AWS 安全指南。
有关使用 Shield 和 Shield Advanced 保护 AWS 资源的信息,请参阅 AWS Shield 指南的其余部分。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为 [AWS 合规性计划](https://aws.amazon.com/compliance/programs/)的一部分,我们的安全措施的有效性定期由第三方审计员进行测试和验证。要了解适用于 Shield 的合规性计划,请参阅[合规性计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您组织的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 Shield 时应用责任共担模式。以下主题说明如何配置 Shield 以实现您的安全性和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 Shield 资源。
**Topics**
+ [在 Shield 中保护您的数据](shd-data-protection.md)
+ [将 IAM 与 AWS Shield](shd-security-iam.md)
+ [Shield 中的日志记录和监控](shd-incident-response.md)
+ [在 Shield 中验证合规性](shd-security-compliance.md)
+ [在 Shield 中构建弹性能力](shd-disaster-recovery-resiliency.md)
+ [中的基础设施安全 AWS Shield](shd-infrastructure-security.md)
# 在 Shield 中保护您的数据
本节说明 AWS 分担责任模型如何应用于 Shield 中的数据保护。
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Shield。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括你 AWS 服务 使用控制台、API 或与 Shield 或其他人合作时 AWS SDKs。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
Shield 实体(如保护)是静态加密的,但某些不提供加密的区域除外,包括中国(北京)和中国(宁夏)。每个区域使用唯一的加密密钥。
# 将 IAM 与 AWS Shield
本节介绍如何将 IAM 与配合使用 AWS Shield。
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制可以*通过身份验证*(登录)和*授权*(具有权限)使用 Shield 资源的人员。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [如何 AWS Shield 与 IAM 配合使用](shd-security_iam_service-with-iam.md)
+ [基于身份的策略示例 AWS Shield](shd-security_iam_id-based-policy-examples.md)
+ [AWS 的托管策略 AWS Shield](shd-security-iam-awsmanpol.md)
+ [对 AWS Shield 身份和访问进行故障排除](shd-security_iam_troubleshoot.md)
+ [使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 会有所不同,具体取决于您在 Shield 中所做的工作。
**服务用户**:如果使用 Shield 服务来完成任务,则您的管理员会为您提供所需的凭证和权限。当您使用更多 Shield 功能来完成工作时,您可能需要额外权限。了解如何管理访问权限有助于您向管理员请求适合的权限。如果您无法访问 Shield 中的功能,请参阅 [对 AWS Shield 身份和访问进行故障排除](shd-security_iam_troubleshoot.md)。
**服务管理员**:如果您在公司负责管理 Shield 资源,则您可能具有 Shield 的完全访问权限。您有责任确定您的服务用户应访问哪些 Shield 功能和资源。然后,您必须向 IAM 管理员提交请求以更改服务用户的权限。请查看该页面上的信息以了解 IAM 的基本概念。要了解有关您的公司如何将 IAM 与 Shield 搭配使用的更多信息,请参阅 [如何 AWS Shield 与 IAM 配合使用](shd-security_iam_service-with-iam.md)。
**IAM 管理员**:如果您是 IAM 管理员,您可能希望了解有关如何编写策略以管理对 Shield 的访问权限的详细信息。要查看您可在 IAM 中使用的 Shield 基于身份的策略示例,请参阅 [基于身份的策略示例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 访问控制列表 (ACLs)
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 AWS WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 如何 AWS Shield 与 IAM 配合使用
本节介绍如何将 IAM 的功能与一起使用 AWS Shield。
在使用 IAM 管理对 Shield 的访问之前,您应该了解哪些 IAM 功能可用于 Shield。
**您可以搭配使用的 IAM 功能 AWS Shield**
| IAM 功能 | Shield 支持 |
| --- | --- |
| [基于身份的策略](#shd-security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#shd-security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#shd-security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#shd-security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键(特定于服务)](#shd-security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACLs](#shd-security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](#shd-security_iam_service-with-iam-tags) | 部分 |
| [临时凭证](#shd-security_iam_service-with-iam-roles-tempcreds) | 是 |
| [转发访问会话(FAS)](#shd-security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#shd-security_iam_service-with-iam-roles-service) | 是 |
| [服务关联角色](#shd-security_iam_service-with-iam-roles-service-linked) | 是 |
要全面了解 Shield 和其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## Shield 的基于身份的策略
本节提供了基于身份的策略示例。 AWS Shield
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
要查看 Shield 基于身份的策略的示例,请参阅 [基于身份的策略示例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 内基于资源的策略
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## Shield 的策略操作
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看 Shield 操作的列表,请参阅*服务授权参考》*中的 [AWS Shield定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)。
Shield 中的策略操作在操作前使用以下前缀:
```
shield
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"shield:action1",
"shield:action2"
]
```
您也可以使用通配符(\$1)指定多个操作。例如,要在 Shield 中指定以 `List` 开头的所有操作,包括以下操作:
```
"Action": "shield:List*"
```
要查看 Shield 基于身份的策略的示例,请参阅 [基于身份的策略示例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 的策略资源
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看 Shield 资源类型及其列表 ARNs,请参阅《*服务授权参考*》 AWS Shield中[定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-resources-for-iam-policies)。要了解可以在哪些操作中指定每个资源的 ARN,请参阅 [AWS Shield定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)。要允许或拒绝对 Shield 资源子集的访问权限,请在策略的 `resource` 元素中包含资源的 ARN。
在中 AWS Shield,资源是*保护*和*攻击*。这些资源具有与之关联的唯一 Amazon 资源名称 (ARNs),如下表所示。
****
| AWS Shield 控制台中的名称 | AWS Shield SDK/CLI 中的名称 | ARN 格式 |
| --- | --- | --- |
| 事件或攻击 | AttackDetail | `arn:aws:shield::account:attack/ID` |
| 保护 | Protection | `arn:aws:shield::account:protection/ID` |
要允许或拒绝对 Shield 资源子集的访问权限,请在策略的 `resource` 元素中包含资源的 ARN。f ARNs or Shield 的格式如下:
```
arn:partition:shield::account:resource/ID
```
将*account**resource*、和*ID*变量替换为有效值。有效值如下:
+ *account*: 您的身份证 AWS 账户。您必须指定值。
+ *resource*: Shield 资源的类型,可以是`attack`或`protection`。
+ *ID*:Shield 资源的 ID,或通配符 (`*`),表示与指定类型关联的所有指定 AWS 账户类型的资源。
例如,以下 ARN 指定账户 `111122223333` 的所有保护:
```
arn:aws:shield::111122223333:protection/*
```
o ARNs f Shield 资源的格式如下:
```
arn:partition:shield:region:account-id:scope/resource-type/resource-name/resource-id
```
有关 ARN 规范的一般信息,请参阅中的 A [mazon 资源名称 (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)。 Amazon Web Services 一般参考
以下列出了特定于 ARNs `wafv2`资源的要求:
+ *region*:对于用于保护亚马逊 CloudFront 分配的 Shield 资源,请将其设置为`us-east-1`。否则,请将其设置为您正在使用受保护区域资源的区域。
+ *scope*:将范围设置`global`为用于 Amazon CloudFront 分销或`regional`与 AWS WAF 支持的任何区域资源一起使用。区域资源是 Amazon API Gateway REST API、应用程序负载均衡器、 AWS AppSync GraphQL API、Amazon Cognito 用户池、服务和 AWS 已验证访问实 AWS App Runner 例。
+ *resource-type*:指定以下值之一:`attack`对于事件或攻击,`protection`用于保护。
+ *resource-name*:指定您为 Shield 资源提供的名称,或指定通配符 (`*`) 以表示满足 ARN 中其他规格的所有资源。您必须指定资源名称和资源 ID,或者为两者指定通配符。
+ *resource-id*:指定 Shield 资源的 ID,或指定通配符 (`*`) 以表示满足 ARN 中其他规格的所有资源。您必须指定资源名称和资源 ID,或者为两者指定通配符。
例如,以下 ARN 在区域中为账户`111122223333`指定了所有 ACLs 具有区域范围的网站:`us-west-1`
```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```
以下 ARN 为区域 `us-east-1` 中的账户 `111122223333` 指定了名为 `MyIPManagementRuleGroup` 全局范围规则组:
```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```
要查看 Shield 基于身份的策略的示例,请参阅 [基于身份的策略示例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 的策略条件键
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
有关 Shield 条件键的列表,请参阅*服务授权参考*中的 [AWS Shield的条件键](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-policy-keys)。要了解可以使用条件键的操作和资源,请参阅[由定义的操作 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)。
要查看 Shield 基于身份的策略的示例,请参阅 [基于身份的策略示例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## ACLs 在 Shield 中
**支持 ACLs:**否
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
## 带 Shield 的 ABAC
**支持 ABAC(策略中的标签):**部分支持
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 将临时凭证用于 Shield
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## Shield 的转发访问会话
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## Shield的服务角色
**支持服务角色:**是
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会破坏 Shield 的功能。仅当 Shield 提供相关指导时才编辑服务角色。
## Shield 的服务相关角色
**支持服务关联角色:**是
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理 Shield 服务相关角色的详细信息,请参阅 [使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)。
# 基于身份的策略示例 AWS Shield
默认情况下,用户和角色没有创建或修改 Shield 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关 Shield 定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》 AWS Shield中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)。 ARNs
**Topics**
+ [策略最佳实践](#shd-security_iam_service-with-iam-policy-best-practices)
+ [使用 Shield 控制台](#shd-security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#shd-security_iam_id-based-policy-examples-view-own-permissions)
+ [授予对您的 Shield Advanced 保护的读取权限](#shd-example0)
+ [授予对 Shield 的只读访问权限 CloudFront,以及 CloudWatch](#shd-example1)
+ [授予对 Shield 的完全访问权限 CloudFront,以及 CloudWatch](#shd-example2)
## 策略最佳实践
基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 Shield 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 Shield 控制台
要访问 AWS Shield 控制台,您必须拥有一组最低权限。这些权限必须允许您在中列出和查看有关 Shield 资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
可以访问和使用 AWS 控制台的用户也可以访问 AWS Shield 控制台。无需额外权限。
### 仅限主机版 APIs
您可以在控制台中访问以下分布式拒绝服务 (DDoS) 攻击信息。在 IAM 策略中指定以下 API 权限,以允许或拒绝特定操作。
| Action | 说明 |
| --- | --- |
| DescribeAttackContributors | 授予获取有关特定 DDo S 攻击贡献者的详细信息的权限。 |
| ListMitigations | 授予检索 DDo S 攻击期间已应用的缓解操作列表的权限。 |
| GetGlobalThreatData | 授予从 AWS Shield 的威胁监控系统检索全球威胁情报数据和趋势的权限。 |
此示例说明如何创建允许您在控制台中查看 DDo S 攻击信息的策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"shield:DescribeAttackContributors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"shield:ListMitigations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"shield:GetGlobalThreatData"
],
"Resource": "*"
}
]
}
```
------
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 授予对您的 Shield Advanced 保护的读取权限
AWS Shield 允许跨账户资源访问,但不允许您创建跨账户资源保护。您只能为拥有这些资源的账户中的资源创建保护。
以下示例策略授予对所有资源执行 `shield:ListProtections` 操作的权限。Shield 不支持使用某些 API 操作的资源 ARNs (也称为资源级权限)来识别特定资源,因此您可以指定通配符 (\$1)。这仅允许访问您可以通过操作 `ListProtections` 检索的资源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProtections",
"Effect": "Allow",
"Action": [
"shield:ListProtections"
],
"Resource": "*"
}
]
}
```
------
## 授予对 Shield 的只读访问权限 CloudFront,以及 CloudWatch
以下政策向用户授予对 Shield 和相关资源(包括亚马逊 CloudFront 资源和亚马逊 CloudWatch 指标)的只读访问权限。这对于需要权限才能查看 Shield 防护和攻击中的设置以及监控其中的指标的用户很有用 CloudWatch。这些用户无法创建、更新或删除 Shield 资源:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldReadOnly",
"Effect": "Allow",
"Action": [
"shield:List*",
"shield:Describe*",
"shield:Get*"
],
"Resource": "*"
}
]
}
```
------
## 授予对 Shield 的完全访问权限 CloudFront,以及 CloudWatch
以下政策允许用户执行任何 Shield 操作、对 CloudFront Web 分发执行任何操作以及监控中的指标和请求示例 CloudWatch。它对作为 Shield 管理员的用户十分有用:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldFullAccess",
"Effect": "Allow",
"Action": [
"shield:*"
],
"Resource": "*"
}
]
}
```
------
强烈建议您为拥有管理权限的用户配置 Multi-Factor Authentication (MFA)。有关更多信息,请参阅《IAM 用户指南》**中的[在 AWS中使用多重身份验证(MFA)设备](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html)。
# AWS 的托管策略 AWS Shield
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略: AWSShieldDRTAccess策略
本节介绍如何使用适用于 Shield 的 AWS 托管策略。
AWS Shield 当您授予 Shield 响应小组 (SRT) 代表您采取行动的权限时,将使用此托管策略。此政策授予 SRT 对您的 AWS 账户的有限访问权限,以帮助在高严重性事件期间缓解 DDo S 攻击。此政策允许 SRT 管理您的 AWS WAF 规则和 Shield Advanced 保护并访问您的 AWS WAF 日志。
有关授予 SRT 代表您进行操作的权限的信息,请参阅 [向 SRT 授予访问权限](ddos-srt-access.md)。
有关此策略的详细信息,请参阅 IAM 控制台中的[AWSShieldDRTAccess策略](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSShieldDRTAccessPolicy)。
## AWS 托管策略: AWSShieldServiceRolePolicy
当您启用自动应用层 DDo S 缓解时,Shield Advanced 会使用此托管策略来设置管理账户资源所需的权限。此策略允许 Shield Advanced 在网络 ACLs中创建和应用与受保护资源关联的 AWS WAF 规则和规则组,以自动响应 DDo S 攻击。
您无法附加 AWSShieldServiceRolePolicy 到您的 IAM 实体。Shield 将此策略附加到服务相关角色 `AWSServiceRoleForAWSShield`,以允许 Shield 代表您执行操作。
当您启用自动应用层 DDo S 缓解时,Shield Advanced 允许使用此策略。有关使用该策略的更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
有关使用此策略的服务相关角色 AWSServiceRoleForAWSShield 的信息,请参阅 [使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)
有关此策略的详细信息,请参阅 IAM 控制台[AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy)中的。
## Shield 对 AWS 托管策略的更新
查看自该服务开始跟踪这些更改以来对 Shield AWS 托管政策的更新的详细信息。有关此页面更改的自动提示,请订阅 Shield 文档历史记录页面上的 RSS 源,网址是 [文档历史记录](doc-history.md)。
| Policy | 更改的说明 | 日期 |
| --- | --- | --- |
| `AWSShieldServiceRolePolicy` 此策略允许 Shield 访问和管理 AWS 资源,以便代表您自动响应应用层 DDo S 层的攻击。 IAM 控制台中的详细信息:[AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy) 服务相关角色 `AWSServiceRoleForAWSShield` 使用该策略。有关信息,请参阅[使用 Shield Advance 的服务相关角色](shd-using-service-linked-roles.md)。 | 添加此策略是为了向 Shield Advanced 提供自动应用层 DDo S 缓解功能所需的权限。有关此功能的信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。 | 2021 年 12 月 1 日 |
| Shield 已开启跟踪更改 | Shield 开始跟踪其 AWS 托管策略的变更。 | 2021 年 3 月 3 日 |
# 对 AWS Shield 身份和访问进行故障排除
使用以下信息可帮助您诊断和修复在使用 Shield 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在 Shield 中执行操作](#shd-security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#shd-security_iam_troubleshoot-passrole)
+ [我想允许我以外的人访问我的 AWS 账户 Shield 资源](#shd-security_iam_troubleshoot-cross-account-access)
## 我无权在 Shield 中执行操作
如果您收到错误提示,指明您无权执行某个操作,则必须更新策略以允许执行该操作。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `shield:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: shield:GetWidget on resource: my-example-widget
```
在此情况下,必须更新 `mateojackson` 用户的策略,以允许使用 `shield:GetWidget` 操作访问 `my-example-widget` 资源。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给 Shield。
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 Shield 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想允许我以外的人访问我的 AWS 账户 Shield 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解 Shield 是否支持这些功能,请参阅 [如何 AWS Shield 与 IAM 配合使用](shd-security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(联合身份验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 角色与基于资源的策略有何不同](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
# 使用 Shield Advance 的服务相关角色
本节介绍如何使用服务相关角色让 Shield Advanced 访问您 AWS 账户中的资源。
AWS Shield Advanced 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Shield Advanced 直接相关。服务相关角色由 Shield Advanced 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置 Shield Advanced,因为您不必手动添加必要的权限。Shield Advanced 定义其服务相关角色的权限,除非另外定义,否则只有 Shield Advanced 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这将保护您的 Shield Advanced 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Shield Advanced 的服务相关角色权限
Shield Advanced 使用名为**AWSServiceRoleForAWSShield**的服务相关角色。此角色允许 Shield Advanced 访问和管理 AWS 资源,以便代表您自动响应应用层 DDo S 的攻击。有关此函数的更多信息,请参阅 [使用 Shield Advanced 自动缓解应用层 DDo S](ddos-automatic-app-layer-response.md)。
AWSServiceRoleForAWSShield 服务相关角色信任以下服务来代入该角色:
+ `shield.amazonaws.com`
名为的角色权限策略 AWSShieldServiceRolePolicy 允许 Shield Advanced 对所有 AWS 资源完成以下操作:
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`
当允许对所有 AWS 资源执行操作时,这在策略中显示为`"Resource": "*"`。这仅意味着服务相关角色可以对该操作*支持的所有 AWS 资源执行每项指定的操作*。例如,只有 `wafv2` Web ACL 资源支持操作 `wafv2:GetWebACL`。
Shield Advanced 仅对已启用应用层保护功能的受保护资源以及与这些受保护资源关联 ACLs 的 Web 进行资源级 API 调用。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 Shield Advance 创建服务相关角色
您无需手动创建服务关联角色。当您为、或 AWS API 中的资源启用自动应用层 DDo缓解时 AWS 管理控制台,Shield Advanced 会为您创建服务相关角色。 AWS CLI
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您为资源启用自动应用层 DDo S 缓解时,Shield Advanced 会再次为您创建服务相关角色。
## 为 Shield Advance 编辑服务相关角色
Shield Advanced 不允许你编辑 AWSServiceRoleForAWSShield 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 为 Shield Advance 删除服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
在您尝试删除资源时,如果 Shield Advanced 正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除使用的 Shield Advanced 资源 AWSService RoleFor AWSShield**
对于配置了应用层 DDo S 保护的所有资源,请禁用自动应用层 DDo S 缓解措施。有关控制台说明,请参阅 [配置应用层 DDo S 保护](manage-protection.md#configure-app-layer-protection)。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAWSShield服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Shield Advanced 服务相关角色支持的区域
Shield Advanced 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [Shield Advanced 端点和限额](https://docs.aws.amazon.com/general/latest/gr/shield.html)。
# Shield 中的日志记录和监控
本节介绍如何使用 AWS 工具来监视和响应中的事件 AWS Shield。
监控是维护 Shield 和您的 AWS 解决方案的可靠性、可用性和性能的重要组成部分。您应该从 AWS 解决方案的各个部分收集监控数据,以便在出现多点故障时可以更轻松地进行调试。 AWS 提供了多种用于监控您的 Shield 资源和响应潜在事件的工具:
**亚马逊 CloudWatch 警报**
使用 CloudWatch 警报,您可以监视您指定的时间段内的单个指标。如果指标超过给定阈值,则会向 Amazon SNS 主题或 AWS Auto Scaling 政策 CloudWatch 发送通知。有关更多信息,请参阅 [使用 Amazon 进行监控 CloudWatch](monitoring-cloudwatch.md)。
**AWS CloudTrail 日志**
CloudTrail 提供用户、角色或 AWS 服务在 Shield 中采取的操作的记录。使用收集的信息 CloudTrail,您可以确定向 Shield 发出的请求、发出请求的 IP 地址、谁提出了请求、何时提出请求以及其他详细信息。有关更多信息,请参阅 [使用 记录 AWS CloudTrail API 调用](logging-using-cloudtrail.md)。
# 在 Shield 中验证合规性
本节说明您在使用时的合规责任 AWS Shield。
要了解是否属于特定合规计划的范围,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”,然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务,请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。
# 在 Shield 中构建弹性能力
本节介绍 AWS 架构如何支持数据冗余 AWS Shield。
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础架构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域 和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基础设施安全 AWS Shield
本节介绍如何 AWS Shield 隔离服务流量。
作为一项托管服务 AWS Shield ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用通过网络访问 Shield。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
# AWS Shield Advanced 配额
AWS Shield Advanced 对每个区域的实体数量有默认配额。您可以[请求提高](https://console.aws.amazon.com/servicequotas/home/services/shield/quotas)这些限额。
| 资源 | 默认配额 |
| --- | --- |
| 每个账户为其 AWS Shield Advanced 提供保护的每种资源类型的最大受保护资源数量。 | 1000 |
| 每个账户的保护组的最大数量。 | 100 |
| 您可以专门包含在保护组中的单个受保护资源的最大数量。在 API 中,这适用于您在将保护组 `Pattern` 设置为 `ARBITRARY` 时指定的 `Members`。在控制台中,这适用于您为保护分组**从受保护资源中选择**选择的资源。 | 1000 |