**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Shield
防止分散式阻斷服務 (DDoS) 攻擊對您的面向網際網路的應用程式至關重要。當您在 上建置應用程式時 AWS,您可以使用 AWS 提供的保護,無需額外費用。此外,您可以使用 AWS Shield Advanced 受管威脅防護服務,透過額外的 DDoS 偵測、緩解和回應功能來改善您的安全狀態。
AWS 致力於為您提供工具、最佳實務和服務,以協助確保在防禦網際網路上的惡意行為時具有高可用性、安全性和彈性。本指南旨在協助 IT 決策者和安全工程師了解如何使用 Shield 和 Shield Advanced 來更好地保護其應用程式免受 DDoS 攻擊和其他外部威脅。
當您在 上建置應用程式時 AWS,您會收到 自動保護 AWS ,防範常見的容積 DDoS 攻擊向量,例如 UDP 反射攻擊和 TCP SYN 洪水。您可以利用這些保護, AWS 透過設計和設定 DDoS 彈性的架構,來確保您在 上執行的應用程式可用性。
本指南提供的建議可協助您設計、建立和設定適用於 DDoS 彈性的應用程式架構。遵循本指南所提供最佳實務的應用程式,當受到較大的 DDoS 攻擊和更廣泛範圍的 DDoS 攻擊向量鎖定時,可以受益於可用性持續性的改善。此外,本指南說明如何使用 Shield Advanced 為您的關鍵應用程式實作最佳化的 DDoS 保護狀態。這些包括您已保證客戶在 DDoS 事件 AWS 期間,以及需要 操作支援的應用程式。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)的一部分。若要了解適用於 Shield Advanced 的合規計劃,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。
![\[圖表顯示水平分割的矩形。上半部標題為「雲端」的安全責任,下半部標題為AWS「雲端」的安全責任。上半部客戶包含四個層。第一種是客戶資料。第二個是平台、應用程式、身分和存取管理。第三個是作業系統、網路和防火牆組態。客戶區域的第四層和底層分為三個並排區段。其中的左側是用戶端資料、加密和資料完整性、身分驗證。中間的加密是伺服器端加密 (檔案系統和/或資料)。正確的是網路流量保護 (加密、完整性、身分)。這會結束圖表上半部客戶的內容。圖的下 AWS 半部,包含標題為軟體的層,以及標題為硬體/AWS 全球基礎設施的層。軟體層分為四個並列的子區段,可讀取運算、儲存、資料庫、網路。硬體層分為三個小節,並排顯示區域、可用區域、節點。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shared-responsibility-model.png)
# AWS Shield 和 Shield Advanced 如何運作
此頁面說明 AWS Shield Standard 和 之間的差異 AWS Shield Advanced。它還描述了 Shield 偵測到的攻擊類別。
AWS Shield Standard 和 為 AWS 網路和傳輸層 (第 3 層和第 4 層) 和應用程式層 (第 7 層) 的資源 AWS Shield Advanced 提供防範分散式阻斷服務 (DDoS) 攻擊的保護。DDoS 攻擊是一種攻擊,其中多個遭入侵的系統會嘗試讓目標充滿流量。DDoS 攻擊可防止合法最終使用者存取目標服務,並可能導致目標因流量過載而當機。
AWS Shield 提供針對各種已知 DDoS 攻擊向量和零時差攻擊向量的保護。Shield 偵測和緩解旨在提供威脅的涵蓋範圍,即使服務在偵測時未明確知道。
Shield Standard 會在您使用時自動提供,且不收取額外費用 AWS。如需更高層級的攻擊防護,您可以訂閱 AWS Shield Advanced。
Shield 偵測到的攻擊類別包括下列項目:
+ **網路容積攻擊 (第 3 層)** – 這是基礎設施層攻擊向量的子類別。這些向量會嘗試讓目標網路或資源的容量飽和,以拒絕向合法使用者提供服務。
+ **網路通訊協定攻擊 (第 4 層)** – 這是基礎設施層攻擊向量的子類別。這些向量會濫用通訊協定來拒絕對目標資源的服務。網路通訊協定攻擊的常見範例是 TCP SYN 洪水,這會耗盡伺服器、負載平衡器或防火牆等資源上的連線狀態。網路通訊協定攻擊也可以是容積。例如,較大的 TCP SYN 洪水可能打算使網路的容量飽和,同時耗盡目標資源或中繼資源的狀態。
+ **應用程式層攻擊 (第 7 層)** – 此類型的攻擊向量會嘗試拒絕向合法使用者提供服務,方法是使用對目標有效的查詢來攻擊應用程式,例如 Web 請求洪水。
**Contents**
+ [AWS Shield Standard 概觀](ddos-standard-summary.md)
+ [AWS Shield Advanced 概觀](ddos-advanced-summary.md)
+ [AWS Shield Advanced 保護 AWS 的資源清單](ddos-advanced-summary-protected-resources.md)
+ [AWS Shield Advanced 功能和選項](ddos-advanced-summary-capabilities.md)
+ [決定是否訂閱 AWS Shield Advanced 並套用其他保護](ddos-advanced-summary-deciding.md)
+ [DDoS 攻擊的範例](types-of-ddos-attacks.md)
+ [如何 AWS Shield 偵測事件](ddos-event-detection.md)
+ [AWS Shield 基礎設施層威脅的偵測邏輯 (第 3 層和第 4 層)](ddos-event-detection-infrastructure.md)
+ [應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)](ddos-event-detection-application.md)
+ [適用於應用程式中多個資源的 Shield Advanced 偵測邏輯](ddos-event-detection-multiple-resources.md)
+ [如何 AWS Shield 緩解事件](ddos-event-mitigation.md)
+ [AWS Shield DDoS 緩解功能的清單](ddos-event-mitigation-features.md)
+ [AWS Shield CloudFront 和 Route 53 的緩解邏輯](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield AWS 區域的緩解邏輯](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield AWS Global Accelerator 標準加速器的緩解邏輯](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced 彈性 IPs緩解邏輯](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced Web 應用程式的緩解邏輯](ddos-event-mitigation-logic-adv-web-app.md)
# AWS Shield Standard 概觀
AWS Shield 是一種受管威脅防護服務,可保護應用程式的周邊。周邊是來自 AWS 網路外部之應用程式流量的第一個進入點。
若要判斷您的應用程式周邊位於何處,請考慮使用者如何從網際網路存取您的應用程式。如果第一個進入點位於 AWS 區域,則應用程式周邊是您的 Amazon Virtual Private Cloud (VPC)。如果 Amazon Route 53 將使用者導向您的應用程式,並先使用 Amazon CloudFront 或 存取應用程式 AWS Global Accelerator,則應用程式周邊會從 AWS 網路邊緣開始。
Shield 為所有執行中的應用程式提供 DDoS 偵測和緩解優勢 AWS,但您在設計應用程式架構時所做的決策會影響您的 DDoS 彈性水準。DDoS 彈性是應用程式在攻擊期間繼續在預期參數內操作的能力。
所有 AWS 客戶都可受益於 Shield Standard 的自動保護,無需額外付費。Shield Standard 可防禦以您的網站或應用程式為目標的最常見、經常發生的網路和傳輸層 DDoS 攻擊。雖然 Shield Standard 有助於保護所有 AWS 客戶,但您可以使用 Amazon Route 53 託管區域、Amazon CloudFront 分佈和 AWS Global Accelerator 標準加速器獲得特定優勢。這些資源可針對所有已知的網路和傳輸層攻擊,獲得全方位的可用性保護。
# AWS Shield Advanced 概觀
AWS Shield Advanced 是一項受管服務,可協助您保護應用程式免受外部威脅,例如 DDoS 攻擊、大量機器人和漏洞入侵嘗試。如需更高層級的攻擊防護,您可以訂閱 AWS Shield Advanced。
當您訂閱 Shield Advanced 並為您的資源新增保護時,Shield Advanced 會為這些資源提供擴展的 DDoS 攻擊保護。您從 Shield Advanced 收到的保護可能會因您的架構和組態選擇而有所不同。使用本指南中的資訊來建置和保護使用 Shield Advanced 的彈性應用程式,並在您需要專家協助時向上呈報。
**Shield Advanced 訂閱和 AWS WAF 成本**
Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護的資源使用標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件的成本 (Web ACL)、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格,最多可達 1,500 個 WCUs,最多可達預設內文大小。
啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入您保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括機器人控制、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您會在一個日曆月收到最多 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。
如需完整資訊和定價範例,請參閱 [Shield 定價](https://aws.amazon.com/shield/pricing/)和[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**Shield Advanced 訂閱帳單**
如果您是 AWS 通路經銷商,請洽詢您的客戶團隊以取得資訊和指導。此帳單資訊適用於非 AWS 通路經銷商的客戶。
對於所有其他 ,適用下列訂閱和帳單準則:
+ 對於屬於 AWS Organizations 組織成員的帳戶, 會根據組織的付款人帳戶來 AWS 計費 Shield Advanced 訂閱,無論付款人帳戶本身是否訂閱。
+ 當您訂閱同一[AWS Organizations 合併帳單帳戶系列中](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多個帳戶時,一個訂閱價格會涵蓋系列中所有訂閱的帳戶。組織必須擁有所有 AWS 帳戶 及其所有資源。
+ 當您為多個組織訂閱多個帳戶時,您仍然可以在所有組織、帳戶和資源中支付一筆訂閱費用,以提供您擁有的所有帳戶。請聯絡您的客戶經理或 AWS 支援,並請求免除除其中一個組織以外的所有 AWS Shield Advanced 訂閱費用。
如需詳細的定價資訊和範例,請參閱 [AWS Shield 定價](https://aws.amazon.com/shield/pricing/)。
**Topics**
# AWS Shield Advanced 保護 AWS 的資源清單
**注意**
Shield Advanced 保護僅針對您在 Shield Advanced 中明確指定或透過 Shield Advanced AWS Firewall Manager 政策保護的資源啟用。Shield Advanced 不會自動保護您的資源。
您可以使用 Shield Advanced 搭配下列資源類型進行進階監控和保護:
+ Amazon CloudFront 分佈。對於 CloudFront 連續部署,Shield Advanced 會保護與受保護的主要分佈相關聯的任何預備分佈。
+ Amazon Route 53 託管區域。
+ AWS Global Accelerator 標準加速器。
+ Amazon EC2 彈性 IP 地址。Shield Advanced 會保護與受保護彈性 IP 地址相關聯的資源。
+ Amazon EC2 執行個體,透過與 Amazon EC2 彈性 IP 地址的關聯。
+ 下列 Elastic Load Balancing (ELB) 負載平衡器:
+ Application Load Balancer。
+ Classic Load Balancer。
+ Network Load Balancer,透過與 Amazon EC2 彈性 IP 地址的關聯。
如需這些資源類型保護的其他資訊,請參閱 [AWS Shield Advanced 保護 的資源清單](ddos-protections-by-resource-type.md)。
# AWS Shield Advanced 功能和選項
AWS Shield Advanced 訂閱包含下列功能和選項。這些補充了您已使用的 DDoS 偵測和緩解功能 AWS。
+ **AWS WAF 整合** – Shield Advanced 使用 AWS WAF Web ACLs、規則和規則群組作為其應用程式層保護的一部分。如需 的詳細資訊 AWS WAF,請參閱 [AWS WAF 運作方式](how-aws-waf-works.md)。
**注意**
Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護之資源的標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件的成本 (Web ACL)、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格,最多可達 1,500 個 WCUs,最多可達預設內文大小。
啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括 Bot Control、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您在一個日曆月內最多會收到 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。
如需完整資訊和定價範例,請參閱 [Shield 定價](https://aws.amazon.com/shield/pricing/)和[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
+ **自動應用程式層 DDoS 緩解** – 您可以設定 Shield Advanced 自動回應,以緩解針對受保護資源的應用程式層 (第 7 層) 攻擊。透過自動緩解,Shield Advanced 會對來自已知 DDoS 來源的請求強制執行 AWS WAF 速率限制,並自動新增和管理自訂 AWS WAF 保護,以回應偵測到的 DDoS 攻擊。您可以設定自動緩解,以計算或封鎖屬於攻擊一部分的 Web 請求。
如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
+ 以**運作狀態為基礎的偵測** – 您可以使用 Amazon Route 53 運作狀態檢查搭配 Shield Advanced 來通知事件偵測和緩解。運作狀態檢查會根據您的規格監控您的應用程式、在符合規格時報告運作狀態良好,以及在不符合規格時報告運作狀態不佳。搭配 Shield Advanced 使用運作狀態檢查有助於防止誤報,並在受保護的資源運作狀態不佳時提供更快的偵測和緩解。您可以針對 Route 53 託管區域以外的任何資源類型使用運作狀態型偵測。Shield Advanced 主動參與僅適用於已啟用運作狀態型偵測的資源。
如需詳細資訊,請參閱[透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
+ **保護群組** – 您可以使用保護群組來建立受保護資源的邏輯群組,以增強整體群組的偵測和緩解能力。您可以定義保護群組中成員資格的條件,以便自動包含新受保護的資源。受保護的資源可以屬於多個保護群組。
如需詳細資訊,請參閱[將您的 AWS Shield Advanced 保護分組](ddos-protection-groups.md)。
+ **增強對 DDoS 事件和攻擊的可見**性 – Shield Advanced 可讓您存取進階的即時指標和報告,以全面了解受保護 AWS 資源的事件和攻擊。您可以透過 Shield Advanced API 和主控台,以及 Amazon CloudWatch 指標來存取此資訊。
如需詳細資訊,請參閱[使用 Shield Advanced 的 DDoS 事件可見性](ddos-viewing-events.md)。
+ **的 Shield Advanced 保護集中管理 AWS Firewall Manager** – 您可以使用 Firewall Manager 自動將 Shield Advanced 保護套用至新帳戶和資源,並將規則部署 AWS WAF 到您的 Web ACLs。Shield Advanced 客戶可免費使用 Firewall Manager Shield Advanced 保護政策。您也可以使用 Firewall Manager 搭配 Amazon Simple Notification Service (SNS) 主題或 ,來集中您帳戶的 Shield Advanced 監控活動 AWS Security Hub CSPM。
如需使用 Firewall Manager 管理 Shield Advanced 保護的詳細資訊,請參閱 [AWS Firewall Manager](fms-chapter.md)和 [在 Firewall Manager 中使用 AWS Shield Advanced 政策](shield-policies.md)。如需 Firewall Manager 定價的資訊,請參閱 [AWS Firewall Manager 定價](https://aws.amazon.com/firewall-manager/pricing/)。
+ **AWS Shield Response Team (SRT)** – SRT 在保護 AWS Amazon.com 及其附屬公司方面擁有豐富的經驗。身為客戶 AWS Shield Advanced ,您可以在 DDoS 攻擊期間隨時聯絡 SRT 尋求協助,這會影響應用程式的可用性。您也可以使用 SRT 來建立和管理 資源的自訂緩解措施。若要使用 SRT 的服務,您還必須訂閱[商業支援計劃](https://aws.amazon.com/premiumsupport/business-support/)或[企業支援計劃](https://aws.amazon.com/premiumsupport/enterprise-support/)。
如需詳細資訊,請參閱[具有 Shield Response Team (SRT) 支援的受管 DDoS 事件回應](ddos-srt-support.md)。
+ **主動參與** – 透過主動參與,如果與受保護資源相關聯的 Amazon Route 53 運作狀態檢查在 Shield Advanced 偵測到的事件期間變得運作狀態不佳,Shield 回應團隊 (SRT) 會直接與您聯絡。當您的應用程式可用性可能受到可疑攻擊的影響時,這可讓您更快地與專家互動。
如需詳細資訊,請參閱[設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
+ **成本保護機會** – Shield Advanced 提供一些成本保護,以防止因對受保護資源的 DDoS 攻擊而導致的 AWS 帳單峰值。這可能包括 Shield Advanced 資料傳輸 (DTO) 使用費中峰值的涵蓋範圍。Shield Advanced 以 Shield Advanced 服務點數的形式提供任何成本保護。
如需詳細資訊,請參閱[攻擊 AWS Shield Advanced 後在 中請求點數](ddos-request-service-credit.md)。
# 決定是否訂閱 AWS Shield Advanced 並套用其他保護
檢閱本節中的案例,以協助決定要訂閱哪些帳戶 AWS Shield Advanced 以及在何處套用其他保護。使用 Shield Advanced,您需要為以合併帳單帳戶建立的所有帳戶支付每月訂閱費,以及根據傳輸資料的 GB 計算的使用費。如需 Shield Advanced 定價的資訊,請參閱 [AWS Shield Advanced 定價](https://aws.amazon.com/shield/pricing/)。
若要使用 Shield Advanced 保護應用程式及其資源,請將管理應用程式的帳戶訂閱至 Shield Advanced,然後將保護新增至應用程式的資源。如需訂閱帳戶和保護資源的資訊,請參閱 [設定 AWS Shield Advanced](getting-started-ddos.md)。
**Shield Advanced 訂閱和 AWS WAF 成本**
Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護之資源的標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件的成本 (Web ACL)、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格,最多可達 1,500 個 WCUs,最多可達預設內文大小。
啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括 Bot Control、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您會在一個日曆月收到最多 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。
如需完整資訊和定價範例,請參閱 [Shield 定價](https://aws.amazon.com/shield/pricing/)和[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**Shield Advanced 訂閱帳單**
如果您是 AWS 通路經銷商,請洽詢您的客戶團隊以取得資訊和指導。此帳單資訊適用於非 AWS 通路經銷商的客戶。
對於所有其他 ,適用下列訂閱和帳單準則:
+ 對於屬於 AWS Organizations 組織成員的帳戶, 會根據組織的付款人帳戶來 AWS 計費 Shield Advanced 訂閱,無論付款人帳戶本身是否訂閱。
+ 當您訂閱同一[AWS Organizations 合併帳單帳戶系列中](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多個帳戶時,一個訂閱價格涵蓋該系列中所有訂閱的帳戶。組織必須擁有所有 AWS 帳戶 及其所有資源。
+ 當您為多個組織訂閱多個帳戶時,您仍然可以在所有組織、帳戶和資源中支付一筆訂閱費用,以為您提供所有這些帳戶。請聯絡您的客戶經理或 AWS 支援,並請求免除除其中一個組織以外的所有 AWS Shield Advanced 訂閱費用。
如需詳細的定價資訊和範例,請參閱 [AWS Shield 定價](https://aws.amazon.com/shield/pricing/)。
**識別要保護的應用程式**
請考慮為需要下列任何一項的應用程式實作 Shield Advanced 保護:
+ 保證應用程式使用者的可用性。
+ 如果應用程式受到 DDoS 攻擊影響,快速存取 DDoS 緩解專家。
+ AWS 了解應用程式可能受到 DDoS 攻擊的影響,以及來自 AWS 和 的攻擊通知,並呈報給您的安全或營運團隊。
+ 雲端成本的可預測性,包括 DDoS 攻擊影響您使用 AWS 服務的情況。
如果應用程式或其資源需要上述任何項目,請考慮為相關帳戶建立訂閱。
**識別要保護的資源**
對於每個訂閱的帳戶,請考慮將 Shield Advanced 保護新增至具有下列任何特性的每個資源:
+ 資源為網際網路上的外部使用者提供服務。
+ 資源會公開至網際網路,也是關鍵應用程式的一部分。考慮每個公開的資源,無論您是否想要讓網際網路上的使用者存取。
+ 資源受到 AWS WAF Web ACL 的保護。
若要進一步了解如何建立和管理 資源的保護,請參閱 [中的資源保護 AWS Shield Advanced](ddos-resource-protections.md)。
此外,請遵循本指南中的建議,以協助確保您建構應用程式以獲得 DDoS 彈性,並已正確設定 Shield Advanced 的功能以獲得最佳保護。
# DDoS 攻擊的範例
AWS Shield Advanced 針對許多類型的攻擊提供擴充的保護。
下列清單說明一些常見的攻擊類型:
**使用者資料包通訊協定 (UDP) 反射攻擊**
在 UDP 反射攻擊中,攻擊者可以欺騙請求的來源,並使用 UDP 從伺服器引出大型回應。導向詐騙、受攻擊 IP 地址的額外網路流量可能會減慢目標伺服器的速度,並防止合法最終使用者存取所需的資源。
**TCP SYN 洪水**
TCP SYN 洪水攻擊的目的是讓連線處於半開放狀態,以耗盡系統的可用資源。當使用者連線到像 Web 伺服器的 TCP 服務時,用戶端會傳送 TCP SYN 封包。伺服器會傳回確認,而用戶端會傳回自己的確認,完成三向交握。在 TCP SYN 洪水中,不會傳回第三個確認,且伺服器會保留等待回應。這可防止其他使用者連線到該伺服器上。
**DNS 查詢泛洪**
在 DNS 查詢洪水中,攻擊者會使用多個 DNS 查詢來耗盡 DNS 伺服器的資源。 AWS Shield Advanced 可協助針對 Route 53 DNS 伺服器上的 DNS 查詢洪水攻擊提供保護。
**HTTP 洪水/cache-busting (layer 7) 攻擊**
使用 HTTP 洪水,包括 `GET`和 `POST`洪水,攻擊者會傳送多個似乎來自 Web 應用程式真實使用者的 HTTP 請求。Cache-busting 攻擊也是一種 HTTP 洪水的類型,使用 HTTP 請求的查詢字串的變體防止使用位置快取內容,和強制從原始 web 伺服器提供內容,導致其他及潛在損壞原始 web 伺服器的壓力。
# 如何 AWS Shield 偵測事件
AWS 會操作 AWS 網路和個別 AWS 服務的服務層級偵測系統,以確保它們在 DDoS 攻擊期間保持可用。此外,資源層級偵測系統會監控每個個別 AWS 資源,以確保流向資源的流量保持在預期的參數內。此組合會套用可捨棄已知錯誤封包、反白潛在惡意流量,以及排定來自最終使用者的流量優先順序的緩解措施,以保護目標 AWS 資源 AWS 和服務。
偵測到的事件會在 Shield Advanced 事件摘要、攻擊詳細資訊和 Amazon CloudWatch 指標中顯示為 DDoS 攻擊向量的名稱,或`Volumetric`假設評估是根據流量而非簽章。如需 `DDoSDetected` CloudWatch 指標內可用之攻擊向量維度的詳細資訊,請參閱 [AWS Shield Advanced 指標](shield-metrics.md)。
**Topics**
+ [AWS Shield 基礎設施層威脅的偵測邏輯 (第 3 層和第 4 層)](ddos-event-detection-infrastructure.md)
+ [應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)](ddos-event-detection-application.md)
+ [適用於應用程式中多個資源的 Shield Advanced 偵測邏輯](ddos-event-detection-multiple-resources.md)
# AWS Shield 基礎設施層威脅的偵測邏輯 (第 3 層和第 4 層)
此頁面說明事件偵測如何用於基礎設施 (網路和傳輸) 層。
用於保護目標 AWS 資源免受基礎設施層 (第 3 層和第 4 層) 中 DDoS 攻擊的偵測邏輯取決於資源類型以及資源是否受到保護 AWS Shield Advanced。
**Amazon CloudFront 和 Amazon Route 53 的偵測**
當您使用 CloudFront 和 Route 53 提供 Web 應用程式時,應用程式的所有封包都會由完全內嵌的 DDoS 緩解系統進行檢查,這不會造成任何可觀測的延遲。即時緩解對 CloudFront 分佈和 Route 53 託管區域的 DDoS 攻擊。無論您是否使用 ,這些保護都適用 AWS Shield Advanced。
盡可能遵循使用 CloudFront 和 Route 53 作為 Web 應用程式進入點的最佳實務,以最快的速度偵測和緩解 DDoS 事件。
**AWS Global Accelerator 和 區域服務的偵測**
資源層級偵測可保護在 AWS 區域中啟動 AWS Global Accelerator 的標準加速器和資源,例如 Classic Load Balancer、Application Load Balancer 和彈性 IP 地址 (EIPs)。這些資源類型會受到監控,確認流量是否上升可能表示存在需要緩解的 DDoS 攻擊。每分鐘都會評估每個 AWS 資源的流量。如果資源的流量增加,則會執行額外的檢查來測量資源的容量。
Shield 會執行下列標準檢查:
+ **Amazon Elastic Compute Cloud (Amazon EC2) 執行個體、連接至 Amazon EC2 執行個體的 EIPs ** – Shield 從受保護的資源擷取容量。容量取決於目標的執行個體類型、執行個體大小,以及其他因素,例如執行個體是否使用增強型聯網。
+ **Classic Load Balancer 和 Application Load Balancer** – Shield 從目標負載平衡器節點擷取容量。
+ **連接至 Network Load Balancer 的 EIPs ** – Shield 會從目標負載平衡器擷取容量。容量與目標負載平衡器的群組組態無關。
+ **AWS Global Accelerator 標準加速器** – Shield 會擷取以端點組態為基礎的容量。
這些評估跨多個維度的網路流量進行,例如連接埠和通訊協定。如果超過目標資源的容量,Shield 會放置 DDoS 緩解措施。Shield 放置的緩解措施將減少 DDoS 流量,但可能不會消除它。如果在與已知 DDoS 攻擊向量一致的流量維度上超過資源容量的一小部分,Shield 也可能會進行緩解。Shield 會以有限的存留時間 (TTL) 放置此緩解措施,只要攻擊持續進行,就會擴展此緩解措施。
**注意**
Shield 放置的緩解措施將減少 DDoS 流量,但可能無法消除。您可以使用 之類的解決方案 AWS Network Firewall 或 之類的主機上防火牆來增強 Shieldiptables,以防止您的應用程式處理對您的應用程式無效或由合法最終使用者產生的流量。
Shield Advanced 保護會將下列項目新增至現有的 Shield 偵測活動:
+ **較低的偵測閾值** – Shield Advanced 會將緩解措施放置在計算容量的一半。這可以為緩慢增加的攻擊提供更快的緩解措施,並緩解具有更模棱兩可容積簽章的攻擊。
+ **間歇性攻擊保護** – Shield Advanced 會根據攻擊的頻率和持續時間,以指數增加的存留時間 (TTL) 進行緩解。當資源經常成為目標,以及當攻擊以短暫暴增發生時,這可讓緩解措施保持更久。
+ 以**運作狀態為基礎的偵測** – 當您將 Route 53 運作狀態檢查與 Shield Advanced 受保護的資源建立關聯時,運作狀態檢查的狀態會用在偵測邏輯中。在偵測到的事件期間,如果運作狀態檢查運作狀態良好,Shield Advanced 需要更大的可信度,才能進行緩解。如果運作狀態檢查運作狀態不佳,Shield Advanced 可能會在建立可信度之前進行緩解。此功能有助於避免誤報,並針對影響您應用程式的攻擊提供更快速的反應。如需使用 Shield Advanced 進行運作狀態檢查的資訊,請參閱 [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
# 應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)
此頁面說明事件偵測如何適用於應用程式層。
AWS Shield Advanced 為受保護的 Amazon CloudFront 分佈和 Application Load Balancer 提供 Web 應用程式層偵測。當您使用 Shield Advanced 保護這些資源類型時,您可以將 AWS WAF Web ACL 與您的保護建立關聯,以啟用 Web 應用程式層偵測。Shield Advanced 會使用相關聯 Web ACL 的請求資料,並為您的應用程式建置流量基準。Web 應用程式層偵測依賴 Shield Advanced 和 之間的原生整合 AWS WAF。若要進一步了解應用程式層保護,包括將 AWS WAF Web ACL 與 Shield Advanced 受保護資源建立關聯,請參閱 [使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF](ddos-app-layer-protections.md)。
對於 Web 應用程式層偵測,Shield Advanced 會監控應用程式流量,並將其與尋找異常的歷史基準進行比較。此監控涵蓋總磁碟區和流量的組成。在 DDoS 攻擊期間,我們預期流量的磁碟區和合成都會變更,而 Shield Advanced 需要兩者的統計顯著偏差才能宣告事件。
Shield Advanced 會根據歷史時段執行其測量。這種方法可減少來自流量的合法變更或來自符合預期模式之流量變更的誤報通知,例如每天在同一時間提供的銷售。
**注意**
給予 Shield Advanced 時間來建立代表正常、合法流量模式的基準,以避免 Shield Advanced 保護中的誤判。當您將 Web ACL 與受保護的資源建立關聯時,Shield Advanced 會開始收集其基準的資訊。在可能導致 Web 流量異常模式的任何計劃事件之前至少 24 小時,將 Web ACL 與您的受保護資源建立關聯。Shield Advanced Web 應用程式層偵測在觀察到 30 天的正常流量時最準確。
Shield Advanced 偵測事件所需的時間會受到其在流量中觀察到的變更量影響。對於較低的磁碟區變更,Shield Advanced 會觀察較長期間的流量,以建立事件發生的可信度。對於更高的磁碟區變更,Shield Advanced 會更快速地偵測和報告事件。
無論是由您新增或由 Shield Advanced 自動應用程式層緩解功能新增的以速率為基礎的規則,都可以在到達可偵測層級之前緩解攻擊。如需自動應用程式層 DDoS 緩解措施的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
**注意**
您可以架構您的應用程式來擴展,以回應增加的流量或負載,以確保不受較小的請求洪水影響。使用 Shield Advanced,您的受保護資源涵蓋在成本保護範圍內。這有助於保護您免於因 DDoS 攻擊而可能發生的雲端帳單意外增加。若要進一步了解 Shield Advanced 成本保護,請參閱 [攻擊 AWS Shield Advanced 後在 中請求點數](ddos-request-service-credit.md)。
# 適用於應用程式中多個資源的 Shield Advanced 偵測邏輯
此頁面說明事件偵測如何對應用程式中的多個資源運作。
您可以使用 AWS Shield Advanced 保護群組來建立屬於相同應用程式一部分的受保護資源集合。您可以選擇要放置在群組中的哪些受保護資源,或指出應將相同類型的所有資源視為一個群組。例如,您可以建立所有 Application Load Balancer 的群組。當您建立保護群組時,Shield Advanced 偵測會彙總群組中受保護資源的所有流量。如果您有許多資源各有少量流量,但有大量彙總磁碟區,這會很有用。對於在受保護資源之間傳輸流量的藍綠部署,您也可以使用保護群組來保留應用程式基準。
您可以選擇以下列其中一種方式彙總保護群組中的流量:
+ **總和** – 此彙總會合併保護群組中跨資源的所有流量。您可以使用此彙總來確保新建立的資源具有現有的基準,並減少偵測敏感度,這有助於防止誤報。
+ **平均值** – 此彙總會使用保護群組中所有流量的平均值。您可以將此彙總用於跨資源的流量統一的應用程式,例如負載平衡器。
+ **Max** – 此彙總會使用保護群組中任何資源的最高流量。當保護群組中有多個應用程式層時,您可以使用此彙總。例如,您可能有一個保護群組,其中包含 CloudFront 分佈、其 Application Load Balancer 原始伺服器,以及 Application Load Balancer 的 Amazon EC2 執行個體目標。
對於以多個面向網際網路的彈性 IPs或 AWS Global Accelerator 標準加速器為目標的攻擊,您也可以使用保護群組來改善 Shield Advanced 放置緩解措施的速度。當保護群組中的一個資源成為目標時,Shield Advanced 會為群組中的其他資源建立可信度。這會將 Shield Advanced 偵測置於提醒上,並可減少建立其他緩解措施所需的時間。
若要進一步了解保護群組,請參閱 [將您的 AWS Shield Advanced 保護分組](ddos-protection-groups.md)。
# 如何 AWS Shield 緩解事件
此頁面介紹 AWS Shield 事件緩解的運作方式。
保護應用程式的緩解邏輯可能會因應用程式架構而有所不同。當您使用 Amazon CloudFront 和 Amazon Route 53 保護 Web 應用程式時,您可以受益於 Web 和 DNS 使用案例特有的緩解措施,並保護服務的所有流量。當您應用程式的進入點是在 AWS 區域中執行的資源時,緩解邏輯會根據服務、資源類型和您的使用而有所不同 AWS Shield Advanced。
AWS DDoS 緩解系統由 Shield 工程師開發,並與 AWS 服務緊密整合。工程師會考慮架構的各個層面,例如目標資源的容量和運作狀態。Shield 工程師會持續監控 DDoS 緩解系統的效能和效能,並在發現或預期新的威脅時能夠快速回應。
您可以建構應用程式來擴展,以因應流量或負載增加,以協助確保不受較小的請求洪水影響。如果您使用 Shield Advanced 保護您的資源,您會收到因 DDoS 攻擊而可能發生的雲端帳單意外增加的涵蓋範圍。
**基礎設施緩解措施**
對於基礎設施層攻擊, AWS Shield DDoS 緩解系統存在於 AWS 網路邊界和 AWS 節點。在整個 AWS 基礎設施中放置多個層級的安全控制可為雲端應用程式提供defense-in-depth。
Shield 會在從網際網路傳入的所有點維護 DDoS 緩解系統。當 Shield 偵測到 DDoS 攻擊時,它會針對每個傳入點,透過相同位置的 DDoS 緩解系統重新路由流量。這不會引入任何可觀測的額外延遲,並在所有 AWS 區域和所有節點提供每秒超過 100 TeraBits (Tbps) 的緩解容量。Shield 保護您的資源可用性,而不會將流量重新路由到外部或遠端清理中心,這可能會增加延遲。
+ 在 AWS 網路邊界,對於任何 AWS 服務或資源,DDoS 緩解系統可緩解來自網際網路的基礎設施層攻擊。當 Shield 偵測或 Shield 回應團隊 (SRT) 上的工程師發出訊號時,系統會執行其緩解措施。
+ 在 AWS 節點,DDoS 緩解系統會持續檢查轉送至 Amazon CloudFront 分佈和 Amazon Route 53 託管區域的每個封包,無論其原始伺服器為何。如有需要,系統會套用專為 Web 和 DNS 流量設計的緩解措施。使用 Amazon CloudFront 和 Amazon Route 53 保護您的 Web 應用程式的額外好處是,DDoS 攻擊會立即緩解,而不需要來自 Shield 偵測的訊號。
**應用程式層緩解措施**
Shield Advanced 為已啟用 Shield Advanced 保護的 Amazon CloudFront 分佈和 Application Load Balancer 提供 Web 應用程式層緩解措施。當您啟用保護時,您可以將 AWS WAF Web ACL 與 資源建立關聯,以啟用 Web 應用程式層偵測。此外,您可以選擇啟用自動應用程式層緩解,指示 Shield Advanced 在 DDoS 攻擊期間為您管理保護。
Shield 僅針對您已啟用 Shield Advanced 和自動應用程式層緩解的資源,提供應用程式層攻擊的自訂緩解措施。透過自動緩解,Shield Advanced 會對來自已知 DDoS 來源的請求強制執行 AWS WAF 速率限制,並自動新增和管理自訂 AWS WAF 保護,以回應偵測到的 DDoS 攻擊。如需此類型之緩解措施的詳細資訊,請參閱 [Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
無論是由您新增或由 Shield Advanced 自動應用程式層緩解功能新增的以速率為基礎的規則,都可以在到達可偵測層級之前緩解攻擊。如需偵測的詳細資訊,請參閱 [應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)](ddos-event-detection-application.md)。
**Topics**
+ [AWS Shield DDoS 緩解功能的清單](ddos-event-mitigation-features.md)
+ [AWS Shield CloudFront 和 Route 53 的緩解邏輯](ddos-event-mitigation-logic-continuous-inspection.md)
+ [AWS Shield AWS 區域的緩解邏輯](ddos-event-mitigation-logic-regions.md)
+ [AWS Shield AWS Global Accelerator 標準加速器的緩解邏輯](ddos-event-mitigation-logic-gax.md)
+ [AWS Shield Advanced 彈性 IPs緩解邏輯](ddos-event-mitigation-logic-adv-eip.md)
+ [AWS Shield Advanced Web 應用程式的緩解邏輯](ddos-event-mitigation-logic-adv-web-app.md)
# AWS Shield DDoS 緩解功能的清單
AWS Shield DDoS 緩解的主要功能如下:
+ **封包驗證** – 這可確保每個檢查的封包符合預期的結構,且對其通訊協定有效。支援的通訊協定驗證包括 IP、TCP (包括標頭和選項)、UDP、ICMP、DNS 和 NTP。
+ **存取控制清單 (ACLs) 和形狀器** – ACL 會根據特定屬性評估流量,並捨棄相符的流量或將其映射至形狀器。形狀器會限制相符流量的封包速率,捨棄多餘的封包,以包含到達目的地的磁碟區。 AWS Shield 偵測和 Shield 回應團隊 (SRT) 工程師可以為預期流量提供專用速率配置,並為具有符合已知 DDoS 攻擊向量屬性的流量提供更嚴格的速率配置。ACL 可以比對的屬性包括封包承載中的連接埠、通訊協定、TCP 旗標、目的地地址、來源國家/地區和任意模式。
+ **可疑評分** – 這會利用 Shield 對預期流量的了解,將分數套用至每個封包。更緊密遵守已知良好流量模式的封包,會獲得較低的可疑分數。觀察已知的不良流量屬性可能會增加封包的可疑分數。需要對限制封包進行評分時,Shield 會先捨棄可疑分數較高的封包。這有助於 Shield 緩解已知和零日 DDoS 攻擊,同時避免誤報。
+ **TCP SYN 代理** — 這透過傳送 TCP SYN Cookie 來挑戰新連線,然後允許它們傳遞到受保護的服務,從而提供對 TCP SYN 洪水的保護。Shield DDoS 緩解提供的 TCP SYN 代理是無狀態的,這允許它緩解最大的已知 TCP SYN 洪水攻擊,而不會達到狀態耗盡。這可透過與 AWS 服務整合來傳遞連線狀態,而不是在用戶端和受保護的服務之間維護連續代理來實現。TCP SYN 代理目前可在 Amazon CloudFront 和 Amazon Route 53 上使用。
+ **速率分佈** – 這會根據流量的輸入模式,持續調整每個位置的形狀器值,面向受保護的資源。這可防止可能無法平均進入 AWS 網路的客戶流量速率限制。
# AWS Shield CloudFront 和 Route 53 的緩解邏輯
此頁面說明 Shield DDoS 緩解措施如何持續檢查 CloudFront 和 Route 53 的流量。這些服務從全球分佈的 AWS 節點網路運作,可讓您廣泛存取 Shield 的 DDoS 緩解容量,並從更接近最終使用者的基礎設施交付您的應用程式。
**重要**
AWS Shield Advanced 不支援 CloudFront 租用戶。
+ **CloudFront** – Shield DDoS 緩解措施僅允許對 Web 應用程式有效的流量傳遞至服務。這可自動保護許多常見的 DDoS 向量,例如 UDP 反射攻擊。
CloudFront 會維護與應用程式原始伺服器的持續連線、透過與 Shield TCP SYN 代理功能的整合自動緩解 TCP SYN 洪水,並在邊緣終止 Transport Layer Security (TLS)。這些合併功能可確保您的應用程式原始伺服器只會收到格式正確的 Web 請求,並保護它免於較低層級的 DDoS 攻擊、連線洪水和 TLS 濫用。
CloudFront 使用 DNS 流量方向和任意傳送路由的組合。這些技術透過緩解靠近來源的攻擊、提供故障隔離,以及確保存取容量以緩解最大的已知攻擊,來改善應用程式的彈性。
+ **Route 53** – Shield 緩解措施僅允許有效的 DNS 請求到達服務。Shield 使用可疑評分來減輕 DNS 查詢洪水,該評分會優先考慮已知的良好查詢,並將包含可疑或已知 DDoS 攻擊屬性的查詢取消優先排序。
Route 53 使用隨機分片為每個託管區域提供一組獨特的四個解析器 IP 地址,適用於 IPv4 和 IPv6。每個 IP 地址對應至 Route 53 位置的不同子集。每個位置子集都包含授權 DNS 伺服器,僅部分與任何其他子集中的基礎設施重疊。這可確保如果使用者查詢因任何原因失敗,則會在重試時成功提供。
Route 53 使用任意傳送路由,根據網路鄰近度將 DNS 查詢導向最近的節點。Anycast 也會將 DDoS 流量散播到許多節點,以防止攻擊聚焦於單一位置。
除了緩解速度之外,CloudFront 和 Route 53 還提供對 Shield 全球分佈容量的廣泛存取。若要利用這些功能,請使用這些服務做為動態或靜態 Web 應用程式的進入點。
若要進一步了解如何使用 CloudFront 和 Route 53 保護 Web 應用程式,請參閱[如何使用 Amazon CloudFront 和 Amazon Route 53 協助保護動態 Web 應用程式免受 DDoS 攻擊](https://aws.amazon.com/blogs/security/how-to-protect-dynamic-web-applications-against-ddos-attacks-by-using-amazon-cloudfront-and-amazon-route-53/)。若要進一步了解 Route 53 上的故障隔離,請參閱[全域故障隔離中的案例研究](https://aws.amazon.com/blogs/architecture/a-case-study-in-global-fault-isolation/)。
# AWS Shield AWS 區域的緩解邏輯
此頁面說明 Shield 事件緩解邏輯如何在 AWS 區域中運作。
在 AWS 區域中啟動的資源受到 Shield 資源層級偵測放置的 AWS Shield DDoS 緩解系統所保護。區域資源包括彈性 IPs(EIPs)、Classic Load Balancer 和 Application Load Balancer。
在放置緩解措施之前,Shield 會識別目標資源及其容量。Shield 使用容量來判斷其緩解應允許轉送至資源的最大總流量。緩解措施中的存取控制清單 (ACLs) 和其他形狀器可能會減少某些流量的允許磁碟區,例如符合已知 DDoS 攻擊向量或預期不會大量出現的流量。這進一步限制了緩解措施允許 UDP 反射攻擊或具有 TCP SYN 或 FIN 旗標的 TCP 流量的流量。
Shield 會決定容量,並針對每個資源類型以不同的方式放置緩解措施。
+ 對於 Amazon EC2 執行個體或連接到 Amazon EC2 執行個體的 EIP,Shield 會根據執行個體類型和其他執行個體屬性計算容量,例如執行個體是否已啟用增強型聯網。
+ 對於 Application Load Balancer 或 Classic Load Balancer,Shield 會個別計算負載平衡器每個目標節點的容量。這些資源的 DDoS 攻擊緩解措施是由 Shield DDoS 緩解措施和負載平衡器自動擴展的組合提供。當 Shield 回應團隊 (SRT) 參與針對 Application Load Balancer 或 Classic Load Balancer 資源的攻擊時,他們可能會加速擴展作為額外的保護措施。
+ Shield 會根據基礎 AWS 基礎設施的可用容量來計算某些 AWS 資源的容量。這些資源類型包括 Network Load Balancer (NLBs),以及透過 Gateway Load Balancer 或 路由流量的資源 AWS Network Firewall。
**注意**
透過連接受 Shield Advanced 保護EIPs 來保護 Network Load Balancer。您可以使用 SRT 來根據基礎應用程式的預期流量和容量建立自訂緩解措施。
當 Shield 進行緩解時,Shield 在緩解邏輯中定義的初始速率限制會平均套用至每個 Shield DDoS 緩解系統。例如,如果 Shield 放置了每秒 100,000 個封包 (pps) 限制的緩解措施,它最初會在每個位置允許 100,000 pps。然後,Shield 會持續彙總緩解指標,以判斷流量的實際比率,並使用比率來調整每個位置的速率限制。這可防止誤報,並確保緩解措施不會過於寬鬆。
# AWS Shield AWS Global Accelerator 標準加速器的緩解邏輯
此頁面說明 Shield 事件緩解邏輯如何適用於 AWS Global Accelerator 標準加速器。Shield 緩解措施僅允許有效流量到達 Global Accelerator 標準加速器的接聽程式端點。
標準加速器是全域部署,它們為您提供 IP 地址,可用於將流量路由到任何 AWS 區域中 AWS 的資源。Shield 針對 Global Accelerator 緩解措施強制執行的速率限制,是以標準加速器路由流量的資源容量為基礎。當總流量超過決定的速率,以及當已知 DDoS 向量超出該速率的一小部分時,Shield 會放置緩解措施。
當您設定標準加速器時,您可以為要路由應用程式流量的每個 AWS 區域定義端點群組。當 Shield 放置緩解措施時,它會計算每個端點群組的容量,並相應地更新每個 Shield DDoS 緩解系統的速率限制。根據 Shield 對流量如何從網際網路路由到您的 AWS 資源所做的假設,每個位置的速率會有所不同。端點群組的容量計算方式為群組中的資源數量乘以群組中任何資源的最低容量。Shield 會定期重新計算應用程式的容量,並視需要更新速率限制。
**注意**
使用流量撥號來變更導向端點群組的流量百分比,不會變更 Shield 計算速率限制或將速率限制分配到其 DDoS 緩解系統的方式。如果您使用流量撥號,請將端點群組設定為根據資源類型和數量互相鏡像。這有助於確保 Shield 計算的容量代表為您的應用程式提供流量的資源。
如需 Global Accelerator 中端點群組和流量撥號的詳細資訊,請參閱[AWS Global Accelerator 標準加速器中的端點群組](https://docs.aws.amazon.com/global-accelerator/latest/dg/about-endpoint-groups.html)。
# AWS Shield Advanced 彈性 IPs緩解邏輯
此頁面說明 Shield 事件緩解邏輯如何搭配彈性 IPs 運作 AWS Shield Advanced。當您使用 保護彈性 IP (EIP) 時 AWS Shield Advanced,Shield Advanced 會增強 Shield 在 DDoS 事件期間放置的緩解措施。
Shield Advanced DDoS 緩解系統會複寫與 EIP 相關聯之公有子網路的網路 ACL (NACL) 組態。例如,如果您的 NACL 設定為封鎖所有 UDP 流量,Shield Advanced 會將該規則合併為 Shield 放置的緩解措施。
此額外功能可協助您避免因流量對您的應用程式無效而導致的可用性風險。您也可以使用 NACLs 來封鎖個別來源 IP 地址或來源 IP 地址 CIDR 範圍。對於未分佈的 DDoS 攻擊,這可以是有用的緩解工具。它還可讓您輕鬆管理自己的允許清單或封鎖不應與您的應用程式通訊的 IP 地址,而無需依賴 AWS 工程師的介入。
# AWS Shield Advanced Web 應用程式的緩解邏輯
AWS Shield Advanced 使用 AWS WAF 來緩解 Web 應用程式層攻擊。 AWS WAF 包含在 Shield Advanced 中,無需額外費用。
**標準應用程式層保護**
當您使用 Shield Advanced 保護 Amazon CloudFront 分佈或 Application Load Balancer 時,如果您還沒有相關聯的 Web ACL,您可以使用 Shield Advanced 將 AWS WAF Web ACL 與您的受保護資源建立關聯。如果您尚未設定 Web ACL,您可以使用 Shield Advanced 主控台精靈來建立一個,並新增以速率為基礎的規則。以速率為基礎的規則會限制每個 IP 地址每五分鐘的請求次數,提供基本的 Web 應用程式層請求洪水防護。您可以設定速率,從低至 10。如需詳細資訊,請參閱[使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層](ddos-app-layer-web-ACL-and-rbr.md)。
您也可以使用 AWS WAF 服務來管理 Web ACL。透過 AWS WAF,您可以展開 Web ACL 組態來執行一些操作,例如檢查特定 Web 請求元件是否有字串比對或模式、新增自訂請求和回應處理,以及比對請求原始伺服器的地理位置。如需 AWS WAF 規則的詳細資訊,請參閱 [AWS WAF 規則](waf-rules.md)。
**自動應用程式層緩解**
若要增強保護,請啟用 Shield Advanced 自動應用程式層緩解。使用此選項,Shield Advanced 會為來自已知 DDoS 來源的請求維護 AWS WAF 速率限制規則,並為偵測到的 DDoS 攻擊提供自訂緩解措施。
當 Shield Advanced 偵測到受保護資源的攻擊時,它會嘗試識別攻擊簽章,以隔離攻擊流量與您的應用程式正常流量。Shield Advanced 會根據受攻擊資源的歷史流量模式,以及與相同 Web ACL 相關聯的任何其他資源,來評估已識別的攻擊簽章。
如果 Shield Advanced 判斷攻擊簽章只會隔離涉及 DDoS 攻擊的流量,則會在相關聯 Web ACL 內的 AWS WAF 規則中實作簽章。您可以指示 Shield Advanced 放置僅計算其相符的流量或封鎖流量的緩解措施,而且您可以隨時變更設定。當 Shield Advanced 判斷不再需要其緩解規則時,它會將其從 Web ACL 中移除。如需應用程式層事件緩解的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
如需 Shield Advanced 應用程式層緩解措施的詳細資訊,請參閱[使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF](ddos-app-layer-protections.md)。
# 使用 Shield Advanced 建置基本 DDoS 彈性架構
此頁面說明分散式阻斷服務 (DDoS) 彈性,並引進兩個範例架構。
DDoS 彈性是您的應用程式架構能夠承受 DDoS 攻擊,同時繼續為合法的最終使用者提供服務。具有高彈性的應用程式可以在攻擊期間保持可用,對效能指標的影響最小,例如錯誤或延遲。本節顯示一些常見的範例架構,並說明如何使用 AWS 和 Shield Advanced 提供的 DDoS 偵測和緩解功能來提高其 DDoS 恢復能力。
本節中的範例架構重點介紹為已部署應用程式提供最大 DDoS 彈性優勢 AWS 的服務。反白服務的優點包括下列項目:
+ **存取全球分散式網路容量** – Amazon CloudFront AWS Global Accelerator和 Amazon Route 53 服務可讓您存取全球 AWS 邊緣網路的網際網路和 DDoS 緩解容量。這有助於緩解較大的容積攻擊,這些攻擊可以大規模達到 TB。您可以在任何 AWS 區域中執行應用程式,並使用這些服務來保護可用性並最佳化合法使用者的效能。
+ **防禦 Web 應用程式層 DDoS 攻擊向量** – Web 應用程式層 DDoS 攻擊最好使用應用程式擴展和 Web 應用程式防火牆 (WAF) 的組合來緩解。Shield Advanced 使用來自 的 Web 請求檢查日誌 AWS WAF 來偵測可自動或透過與 Shield 回應團隊 (SRT) 互動來緩解的 AWS 異常。透過部署 AWS WAF 的速率型規則和 Shield Advanced 自動應用程式層 DDoS 緩解,即可使用自動緩解。
除了檢閱這些範例之外,請檢閱並遵循 [AWS DDoS 彈性最佳實務中的適用最佳實務](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)。
**Topics**
+ [常見 Web 應用程式的範例 Shield Advanced DDoS 彈性架構](ddos-resiliency-example-web.md)
+ [TCP 和 UDP 應用程式的 Shield Advanced DDoS 彈性架構範例](ddos-resiliency-example-tcp-udp.md)
# 常見 Web 應用程式的範例 Shield Advanced DDoS 彈性架構
此頁面提供使用 AWS Web 應用程式最大化 DDoS 攻擊彈性的範例架構。
您可以在任何區域中建置 Web 應用程式 AWS ,並從 區域中 AWS 提供的偵測和緩解功能接收自動 DDoS 保護。
此範例適用於使用 Classic Load Balancer、Application Load Balancer、Network Load Balancer、 AWS Marketplace 解決方案或您自己的代理層等資源,將使用者路由至 Web 應用程式的架構。您可以在這些 AWS WAF Web 應用程式資源與您的使用者之間插入 Amazon Route 53 託管區域、Amazon CloudFront 分佈和 Web ACLs,以改善 DDoS 彈性。這些插入可能會混淆應用程式原始伺服器、提供更接近最終使用者的請求,以及偵測和緩解應用程式層請求洪水。使用 CloudFront 和 Route 53 為使用者提供靜態或動態內容的應用程式受到整合的全內嵌 DDoS 緩解系統保護,可即時緩解基礎設施層攻擊。
有了這些架構改善,您就可以使用 Shield Advanced 來保護 Route 53 託管區域和 CloudFront 分佈。當您保護 CloudFront 分佈時,Shield Advanced 會提示您關聯 AWS WAF Web ACLs 並為它們建立速率型規則,並提供啟用自動應用程式層 DDoS 緩解或主動參與的選項。主動參與和自動應用程式層 DDoS 緩解會使用您與該資源相關聯的 Route 53 運作狀態檢查。若要進一步了解這些選項,請參閱[中的資源保護 AWS Shield Advanced](ddos-resource-protections.md)。
下列參考圖說明 Web 應用程式的此 DDoS 彈性架構。
![\[圖表顯示名為 的矩形AWS cloud,其中一組使用者位於左側。在雲端矩形內是另外兩個矩形,並排。左側矩形標題為 AWS Shield Advanced,右側矩形標題為 VPC。左側 AWS Shield Advanced 三角形包含三個垂直堆疊的 AWS 圖示。從上到下,圖示為 Amazon Route 53、Amazon CloudFront 和 AWS WAF。CloudFront 的圖示具有進出圖示的箭頭 AWS WAF。使用者群組有一個水平向右側發出的箭頭,該箭頭會分割以指向 Route 53 和 CloudFront 的圖示。在 Shield Advanced 矩形的右側,VPC 矩形包含兩個並排的圖示。從左到右,這些圖示為 Elastic Load Balancing 和 Amazon Elastic Compute Cloud。CloudFront 圖示有一個指向 Elastic Load Balancing 圖示的水平箭頭。Elastic Load Balancing 圖示有一個指向 Amazon EC2 圖示的水平箭頭。因此,使用者請求會傳送至 Route 53 和 CloudFront。CloudFront 會與 互動 AWS WAF ,也會將請求傳送至負載平衡器,進而在 Amazon EC2 上傳送請求。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-resilient-web-app-arch.png)
此方法為您的 Web 應用程式提供的優點如下:
+ 防範經常使用的基礎設施層 (第 3 層和第 4 層) DDoS 攻擊,無需延遲偵測。此外,如果經常以資源為目標,Shield Advanced 會將緩解措施放置更長一段時間。Shield Advanced 也會使用從網路 ACLs(NACLs) 推斷的應用程式內容,進一步封鎖上游不必要的流量。這會隔離更接近其來源的故障,將對合法使用者的影響降至最低。
+ 防範 TCP SYN 洪水。與 CloudFront、Route 53 整合的 DDoS 緩解系統, AWS Global Accelerator 並提供 TCP SYN 代理功能,可挑戰新的連線嘗試,並且只為合法使用者提供服務。
+ 防範 DNS 應用程式層攻擊,因為 Route 53 負責提供授權 DNS 回應。
+ 防止 Web 應用程式層請求洪水。您在 AWS WAF Web ACL 中設定的速率型規則,會在傳送超過規則允許的請求時封鎖來源 IPs。
+ 如果您選擇啟用此選項,則 CloudFront 分發的自動應用程式層 DDoS 緩解措施。透過自動 DDoS 緩解,Shield Advanced 會在分佈的相關聯 AWS WAF Web ACL 中維護以速率為基礎的規則,以限制來自已知 DDoS 來源的請求量。此外,當 Shield Advanced 偵測到影響應用程式運作狀態的事件時,它會自動在 Web ACL 中建立、測試和管理緩解規則。
+ 如果您選擇啟用此選項,則主動與 Shield 回應團隊 (SRT) 互動。當 Shield Advanced 偵測到影響應用程式運作狀態的事件時,SRT 會使用您提供的聯絡資訊,回應並主動與您的安全或營運團隊互動。SRT 會分析流量中的模式,並可更新您的 AWS WAF 規則以封鎖攻擊。
# TCP 和 UDP 應用程式的 Shield Advanced DDoS 彈性架構範例
此範例顯示使用 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或彈性 IP (EIP) 地址的 AWS 區域中 TCP 和 UDP 應用程式的 DDoS 彈性架構。
您可以遵循此一般範例來改善下列應用程式類型的 DDoS 彈性:
+ TCP 或 UDP 應用程式。例如,用於遊戲、IoT 和 IP 語音的應用程式。
+ 需要靜態 IP 地址或使用 Amazon CloudFront 不支援之通訊協定的 Web 應用程式。例如,您的應用程式可能需要您的使用者可以新增到其防火牆允許清單的 IP 地址,而且任何其他 AWS 客戶都不會使用。
您可以透過引入 Amazon Route 53 和 來改善這些應用程式類型的 DDoS 彈性 AWS Global Accelerator。這些服務可以將使用者路由到您的應用程式,並為您的應用程式提供透過 AWS 全球邊緣網路路由的任何傳送的靜態 IP 地址。Global Accelerator 標準加速器最多可將使用者延遲提高 60%。如果您有 Web 應用程式,您可以在 Application Load Balancer 上執行應用程式,然後使用 Web ACL 保護 Application Load Balancer,以偵測和緩解 AWS WAF Web 應用程式層請求洪水。
建置應用程式之後,請使用 Shield Advanced 保護您的 Route 53 託管區域、Global Accelerator 標準加速器和任何 Application Load Balancer。當您保護 Application Load Balancer 時,您可以建立 AWS WAF Web ACLs關聯,並為其建立以速率為基礎的規則。您可以透過關聯新的或現有的 Route 53 運作狀態檢查,為 Global Accelerator 標準加速器和 Application Load Balancer 設定 SRT 主動參與。若要進一步了解選項,請參閱 [中的資源保護 AWS Shield Advanced](ddos-resource-protections.md)。
下列參考圖說明 TCP 和 UDP 應用程式的範例 DDoS 彈性架構。
![\[圖表顯示連線至 Route 53 和 的使用者 AWS Global Accelerator。加速器會連接到由 AWS Shield Advanced 和 保護的 Elastic Load Balancing 圖示 AWS WAF。Elastic Load Balancing 本身已連線至 Amazon EC2 執行個體。此 Elastic Load Balancing 執行個體和 Amazon EC2 執行個體位於區域 1。 AWS Global Accelerator 也會直接連線至另一個 Amazon EC2 執行個體,該執行個體不在受保護的 Elastic Load Balancing 執行個體後方。第二個 Amazon EC2 執行個體位於區域 n。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-resilient-tcp-udp-app-arch.png)
此方法為您的應用程式提供的優點如下:
+ 防範最大的已知基礎設施層 (第 3 層和第 4 層) DDoS 攻擊。如果攻擊數量從上游造成擁塞 AWS,則故障會隔離到更接近其來源的位置,並對您的合法使用者產生最小的影響。
+ 防範 DNS 應用程式層攻擊,因為 Route 53 負責提供授權 DNS 回應。
+ 如果您有 Web 應用程式,此方法可針對 Web 應用程式層請求洪水提供保護。您在 AWS WAF Web ACL 中設定的速率型規則會在傳送超過規則允許的請求時封鎖來源 IPs。
+ 如果您選擇為合格資源啟用此選項,則主動與 Shield 回應團隊 (SRT) 互動。當 Shield Advanced 偵測到影響應用程式運作狀態的事件時,SRT 會使用您提供的聯絡資訊回應並主動與您的安全或營運團隊互動。
# 將 Shield Advanced 與其他 結合 AWS 服務
您可以使用 Shield Advanced 在許多類型的案例中保護您的資源。不過,在某些情況下,您應該使用其他 服務或結合其他 服務與 Shield Advanced 來提供最佳保護。以下是如何使用 Shield Advanced 或其他 AWS 服務協助保護 資源的範例。
| 目標 | 建議的服務 | 相關的服務文件 |
| --- | --- | --- |
| 保護 web 應用程式和 RESTful API 對抗 DDoS 攻擊 | Shield Advanced 保護 Amazon CloudFront 分佈和 Application Load Balancer | [Elastic Load Balancing 文件](https://docs.aws.amazon.com/elasticloadbalancing/)、[Amazon CloudFront 文件](https://docs.aws.amazon.com/cloudfront/) |
| 保護 TCP 為基礎的應用程式對抗 DDoS 攻擊 | Shield Advanced 保護 AWS Global Accelerator 標準加速器;連接至彈性 IP 地址 | [AWS Global Accelerator 文件](https://docs.aws.amazon.com/global-accelerator/)、[Elastic Load Balancing 文件](https://docs.aws.amazon.com/elasticloadbalancing/) |
| 保護 UDP 為基礎的遊戲伺服器對抗 DDoS 攻擊 | Shield Advanced 保護連接至彈性 IP 地址的 Amazon EC2 執行個體 | [Amazon Elastic Compute Cloud 文件](https://docs.aws.amazon.com/ec2/) |
例如,如果您使用 Shield Advanced 保護彈性 IP 地址,Shield Advanced 會保護與其相關聯的任何資源。在攻擊期間,Shield Advanced 會自動將您的網路 ACLs 部署到 AWS 網路邊界。當您的網路 ACLs 位於網路邊界時,Shield Advanced 可以提供對較大 DDoS 事件的保護。一般而言,網路 ACLs會在 Amazon VPC 內的 Amazon EC2 執行個體附近套用。網路 ACL 只能減輕您的 Amazon VPC 和執行個體可以處理的大型攻擊。如果連接至 Amazon EC2 執行個體的網路界面最多可以處理 10 Gbps,則超過 10 Gbps 的磁碟區會減慢速度,並可能封鎖對該執行個體的流量。在攻擊期間,Shield Advanced 會將您的網路 ACL 提升為 AWS 邊界,以處理多個 TB 的流量。您的網路 ACL 能夠提供您的資源遠超過網路典型容量的保護。如需網路 ACL 的詳細資訊,請參閱 [網路 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
# 設定 AWS Shield Advanced
本教學課程將逐步引導您 AWS Shield Advanced 開始使用 Shield Advanced 主控台。
**注意**
Shield Advanced 需要訂閱,而 AWS Shield Standard 不需要。Shield Standard 提供的保護為所有 AWS 客戶免費提供。
Shield Advanced 為網路層 (第 3 層)、傳輸層 (第 4 層) 和應用程式層 (第 7 層) 攻擊提供進階 DDoS 偵測和緩解保護。如需 Shield Advanced 的詳細資訊,請參閱[AWS Shield Advanced 概觀](ddos-advanced-summary.md)。
AWS 技術社群已發佈使用基礎設施即程式碼 (IaC) 工具和 AWS CloudFormation Terraform 設定 Shield Advanced 的自動化程序範例。如果您的帳戶是 中組織的一部分, AWS Organizations 而且您要保護 Amazon Route 53 或 以外的任何資源類型,則可以 AWS Firewall Manager 使用此解決方案 AWS Global Accelerator。若要探索此選項,請參閱位於 [aws-samples / aws-shield-advanced-one-click-deployment](https://github.com/aws-samples/aws-shield-advanced-one-click-deployment) 的程式碼儲存庫,以及位於 [Shield Advanced 一鍵式部署的](https://youtu.be/LCA3FwMk_QE)教學課程。
**注意**
請務必在分散式拒絕服務 (DDoS) 事件之前完整設定 Shield Advanced。完成組態,以協助確保您的應用程式受到保護,並在應用程式受到 DDoS 攻擊影響時準備好回應。
依序執行下列步驟以開始使用 Shield Advanced。
**Contents**
+ [訂閱 AWS Shield Advanced](enable-ddos-prem.md)
+ [使用 Shield Advanced 新增和設定資源保護](ddos-choose-resources.md)
+ [使用 設定應用程式層 (第 7 層) DDoS 保護 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [使用 Shield Advanced 和 Route 53 為您的保護設定以運作狀態為基礎的偵測](ddos-get-started-health-checks.md)
+ [使用 Shield Advanced 和 Amazon SNS 設定警示和通知](ddos-get-started-create-alarms.md)
+ [在 Shield Advanced 中檢閱並完成保護組態](ddos-get-started-review-and-configure.md)
+ [設定 DDoS AWS 事件回應的 Shield Response Team (SRT) 支援](authorize-srt.md)
+ [在 CloudWatch 中建立 DDoS 儀表板並設定 CloudWatch 警示](deploy-waf-dashboard.md)
# 訂閱 AWS Shield Advanced
此頁面說明如何將您的帳戶訂閱 Shield Advanced,以開始使用 服務。
您必須針對 AWS 帳戶 您要保護的每個訂閱 Shield Advanced。您不需要訂閱 Shield Standard。
**Shield Advanced 訂閱帳單**
如果您是 AWS 通路經銷商,請洽詢您的客戶團隊以取得資訊和指導。此帳單資訊適用於非 AWS 通路經銷商的客戶。
對於所有其他 ,適用下列訂閱和帳單準則:
+ 對於屬於 AWS Organizations 組織成員的帳戶, 會根據組織的付款人帳戶來 AWS 計費 Shield Advanced 訂閱,無論付款人帳戶本身是否訂閱。
+ 當您訂閱同一[AWS Organizations 合併帳單帳戶系列中](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html)的多個帳戶時,一個訂閱價格會涵蓋系列中所有訂閱的帳戶。組織必須擁有所有 AWS 帳戶 及其所有資源。
+ 當您為多個組織訂閱多個帳戶時,您仍然可以在所有組織、帳戶和資源中支付一筆訂閱費用,以為您提供所有這些帳戶。請聯絡您的客戶經理或 AWS 支援,並請求免除除其中一個組織以外的所有 AWS Shield Advanced 訂閱費用。
如需詳細的定價資訊和範例,請參閱 [AWS Shield 定價](https://aws.amazon.com/shield/pricing/)。
**考慮使用 簡化訂閱 AWS Firewall Manager**
如果您的帳戶是組織的一部分,我們建議您盡可能使用 AWS Firewall Manager 來自動化組織的訂閱和保護。Firewall Manager 支援 Amazon Route 53 和 以外的所有受保護資源類型 AWS Global Accelerator。若要使用 Firewall Manager,請參閱 [AWS Firewall Manager](fms-chapter.md)和 [設定 AWS Firewall Manager AWS Shield Advanced 政策](getting-started-fms-shield.md)。
如果您不使用 Firewall Manager,請針對具有 資源的每個帳戶,使用下列程序來保護、訂閱和新增保護。
**訂閱 帳戶 AWS Shield Advanced**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在**AWS Shield**導覽列中,選擇**開始使用**。選擇**訂閱 Shield Advanced**。
1. 在**訂閱 Shield Advanced **頁面中,閱讀協議的每個條款,然後選取所有核取方塊以表示您接受條款。對於合併帳單系列中的帳戶,您必須同意每個帳戶的條款。
**重要**
當您訂閱時,若要取消訂閱,您必須聯絡 [AWS 支援](https://console.aws.amazon.com/support)。
若要停用訂閱的自動續約,您必須使用 Shield API 操作 [UpdateSubscription](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_UpdateSubscription.html) 或 CLI 命令 [update-subscription](https://docs.aws.amazon.com/cli/latest/reference/shield/update-subscription.html)。
選擇**訂閱至 Shield Advanced**。這會讓您的帳戶訂閱 Shield Advanced 並啟用 服務。
您的帳戶已訂閱。繼續執行下列步驟,以使用 Shield Advanced 保護您帳戶的資源。
**注意**
Shield Advanced 不會在您訂閱後自動保護您的資源。您必須指定要 Shield Advanced 保護的資源。
# 使用 Shield Advanced 新增和設定資源保護
此頁面提供新增和設定 資源保護的說明。
Shield Advanced 只會透過 Shield Advanced 或在 Firewall Manager Shield Advanced 政策中保護您指定的資源。它不會自動保護已訂閱帳戶的資源。
**注意**
如果您使用 AWS Firewall Manager Shield Advanced 政策進行保護,則不需要執行此步驟。您可以使用要保護的資源類型來設定政策,而 Firewall Manager 會自動為政策範圍內的資源新增保護。
如果您不使用 Firewall Manager,請針對每個具有要保護資源的帳戶執行下列程序。
**使用 Shield Advanced 選擇要保護的資源**
1. 從先前程序的訂閱確認頁面,或從受保護的資源或**概觀**頁面,選擇**新增要保護**的資源。 ****
1. 在**使用 Shield Advanced 選擇要保護的資源**頁面中,在**指定區域和資源類型**中,為您要保護的資源提供區域和資源類型規格。您可以選取**所有**區域來保護多個區域中的資源,也可以選取全域,將選取範圍縮小為**全域**資源。您可以取消選取任何您不想保護的資源類型。如需 資源類型的保護資訊,請參閱 [AWS Shield Advanced 保護 的資源清單](ddos-protections-by-resource-type.md)。
1. 選擇**載入資源**。Shield Advanced 會將符合您條件的資源填入**選取資源**區段 AWS 。
1. 在**選取資源**區段中,您可以輸入要在資源清單中搜尋的字串來篩選資源清單。
選取您要保護的資源。
1. 在**標籤**區段中,如果您想要將標籤新增至您正在建立的 Shield Advanced 保護,請指定這些保護。如需標記 AWS 資源的資訊,請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 選擇**使用 Shield Advanced 保護**。這會將 Shield Advanced 保護新增至資源。
繼續執行主控台精靈畫面,以完成資源保護的組態。
**Topics**
+ [使用 設定應用程式層 (第 7 層) DDoS 保護 AWS WAF](ddos-get-started-web-acl-rbr.md)
+ [使用 Shield Advanced 和 Route 53 為您的保護設定以運作狀態為基礎的偵測](ddos-get-started-health-checks.md)
+ [使用 Shield Advanced 和 Amazon SNS 設定警示和通知](ddos-get-started-create-alarms.md)
+ [在 Shield Advanced 中檢閱並完成保護組態](ddos-get-started-review-and-configure.md)
# 使用 設定應用程式層 (第 7 層) DDoS 保護 AWS WAF
此頁面提供使用 AWS WAF Web ACLs 設定應用程式層保護的指示。
為了保護應用程式層資源,Shield Advanced 使用以速率為基礎的規則做為起點的 AWS WAF Web ACL。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送到應用程式層資源的 HTTP 和 HTTPS 請求,並可讓您根據請求的特性控制對內容的存取。速率型規則會根據您的請求彙總條件限制流量,為您的應用程式提供基本的 DDoS 保護。如需詳細資訊,請參閱[AWS WAF 運作方式](how-aws-waf-works.md)及[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
您也可以選擇性地啟用 Shield Advanced 自動應用程式層 DDoS 緩解,讓來自已知 DDoS 來源的 Shield Advanced 速率限制請求,並自動為您提供事件特定的保護。
**重要**
如果您 AWS Firewall Manager 使用 Shield Advanced 政策來管理 Shield Advanced 保護,則無法在此處管理應用程式層保護。您必須在 Firewall Manager Shield Advanced 政策中管理它們。
**Shield Advanced 訂閱和 AWS WAF 成本**
Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護之資源的標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件的成本 (Web ACL)、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格,最多可達 1,500 個 WCUs,最多可達預設內文大小。
啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括 Bot Control、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您會在一個日曆月收到最多 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。
如需完整資訊和定價範例,請參閱 [Shield 定價](https://aws.amazon.com/shield/pricing/)和[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**為區域設定第 7 層 DDoS 保護**
Shield Advanced 可讓您選擇為所選資源所在的每個區域設定 layer 7 DDoS 緩解措施。如果您要在多個區域中新增保護,精靈會逐步引導您完成每個區域的下列程序。
1. **設定第 7 層 DDoS 保護**頁面會列出尚未與 Web ACL 相關聯的每個資源。針對這些項目,選擇現有的 Web ACL 或建立新的 Web ACL。對於已經有關聯 Web ACL 的任何資源,您可以先取消目前 ACL 的關聯,以變更 Web ACLs AWS WAF。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
對於還沒有以速率為基礎的規則ACLs,組態精靈會提示您新增規則。速率型規則會在傳送大量請求時限制來自 IP 地址的流量。以速率為基礎的規則有助於保護您的應用程式免受 Web 請求洪水的影響,並可提供有關流量突然峰值的提醒,這可能表示潛在的 DDoS 攻擊。透過選擇新增速率**限制規則,然後提供速率限制和規則動作,將速率型規則新增至** Web ACL。您可以透過 在 Web ACL 中設定其他保護 AWS WAF。
如需有關在 Shield Advanced 保護中使用 Web ACLs 和速率型規則的資訊,包括速率型規則的其他組態選項,請參閱 [使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層](ddos-app-layer-web-ACL-and-rbr.md)。
1. 對於**自動應用程式層 DDoS 緩解**,如果您想要讓 Shield Advanced 自動緩解對應用程式層資源的 DDoS 攻擊,請選擇**啟用**,然後選取您希望 Shield Advanced 在其自訂 AWS WAF 規則中使用的規則動作。此設定適用於您在此精靈工作階段中管理之資源的所有 Web ACLs。
透過自動應用程式層 DDoS 緩解,Shield Advanced 會在資源的 AWS WAF Web ACL 中維護以速率為基礎的規則,以限制來自已知 DDoS 來源的請求量。此外,Shield Advanced 會將目前的流量模式與歷史流量基準進行比較,以偵測可能表示 DDoS 攻擊的偏差。當 Shield Advanced 偵測到 DDoS 攻擊時,它會透過建立、評估和部署自訂 AWS WAF 規則來回應。您可以指定自訂規則是否代表您計數或封鎖攻擊。
**注意**
自動應用程式層 DDoS 緩解僅適用於使用最新版本 (v2) 建立的保護套件 AWS WAF (Web ACLs)。
如需 Shield Advanced 自動應用程式層 DDoS 緩解措施的詳細資訊,包括使用此功能的注意事項和最佳實務,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
1. 選擇**下一步**。主控台精靈會進入以運作狀態為基礎的偵測頁面。
# 使用 Shield Advanced 和 Route 53 為您的保護設定以運作狀態為基礎的偵測
此頁面提供設定 Shield Advanced 以使用運作狀態型偵測的指示。這有助於改善攻擊偵測和緩解的回應能力和準確性。
設定良好的運作狀態檢查對於準確偵測事件至關重要。您可以為 Route 53 託管區域以外的任何資源類型設定運作狀態型偵測。
若要使用運作狀態型偵測,請在 Route 53 中定義資源的運作狀態檢查,然後將運作狀態檢查與 Shield Advanced 保護建立關聯。您設定的運作狀態檢查必須準確反映資源的運作狀態。如需設定運作狀態檢查以搭配 Shield Advanced 使用的資訊和範例,請參閱 [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
Shield 回應團隊 (SRT) 主動參與支援需要運作狀態檢查。如需主動參與的相關資訊,請參閱 [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
**注意**
當您將運作狀態檢查與 Shield Advanced 保護建立關聯時,必須報告運作狀態良好。
**設定以運作狀態為基礎的偵測**
1. 在 **Associate Health Check (關聯運作狀態檢查)** 下,選擇您要與保護產生關聯的運作狀態檢查 ID。
**注意**
如果您沒有看到所需的運作狀態檢查,請前往 Route 53 主控台並驗證運作狀態檢查及其 ID。如需相關資訊,請參閱[建立和更新運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 選擇**下一步**。主控台精靈會進入警示和通知頁面。
# 使用 Shield Advanced 和 Amazon SNS 設定警示和通知
此頁面提供指示,可選擇性地為偵測到的 Amazon CloudWatch 警示和以速率為基礎的規則活動設定 Amazon Simple Notification Service 通知。當 Shield 在受保護的資源上偵測到事件,或超過以速率為基礎的規則中設定的速率限制時,您可以使用這些來接收通知。
如需 Shield Advanced CloudWatch 指標的詳細資訊,請參閱 [AWS Shield Advanced 指標](shield-metrics.md)。如需 Amazon SNS 的相關資訊,請參閱《[Amazon Simple Notification Service 開發人員指南](https://docs.aws.amazon.com/sns/latest/dg/)》。
**設定警示和通知**
1. 選取您要通知的 Amazon SNS 主題。您可以針對所有受保護的資源和速率型規則使用單一 Amazon SNS 主題,也可以選擇為您的組織自訂的不同主題。例如,您可以為每個負責特定資源之事件回應的團隊建立 SNS 主題。
1. 選擇**下一步**。主控台精靈會進入資源保護檢閱頁面。
# 在 Shield Advanced 中檢閱並完成保護組態
**若要檢閱並完成設定**
1. 在**檢閱和設定 DDoS 緩解和可見**性頁面中,檢閱您的設定。若要進行修改,請在您要修改的區域中選擇**編輯**。這將帶您回到主控台精靈中的關聯頁面。進行變更,然後在後續頁面中選擇**下一步**,直到您返回**檢閱並設定 DDoS 緩解和可見**性頁面。
1. 選擇**完成組態**。**受保護的資源**頁面列出新受保護的資源。
# 設定 DDoS AWS 事件回應的 Shield Response Team (SRT) 支援
此頁面提供設定 Shield Response Team (SRT) 支援的指示。
SRT 包含專門處理 DDoS 事件回應的安全工程師。您可以選擇性地新增許可,允許 SRT 在 DDoS 事件期間代表您管理資源。此外,如果與受保護資源相關聯的 Route 53 運作狀態檢查在偵測到事件期間運作狀態不佳,您可以設定 SRT 主動與您互動。對 保護的這兩種新增都可讓您更快速地回應 DDoS 事件。
**注意**
若要使用 Shield 回應團隊 (SRT) 的服務,您必須訂閱[商業支援計劃](https://aws.amazon.com/premiumsupport/business-support/)或[企業支援計劃](https://aws.amazon.com/premiumsupport/enterprise-support/)。
SRT 可以在應用程式層事件期間監控 AWS WAF 請求資料和日誌,以識別異常流量。他們可以協助制定自訂 AWS WAF 規則,以緩解違規的流量來源。視需要,SRT 可能會提出架構建議,以協助您更符合資源 AWS 的建議。
如需 SRT 的詳細資訊,請參閱 [具有 Shield Response Team (SRT) 支援的受管 DDoS 事件回應](ddos-srt-support.md)。
**授予 SRT 許可**
1. 在 AWS Shield 主控台**概觀**頁面**的設定 AWS SRT 支援**下,選擇**編輯 SRT 存取**。**編輯 Shield AWS 回應團隊 (SRT) 存取**頁面隨即開啟。
1. 針對 **SRT 存取設定**,選取其中一個選項:
+ **請勿授予 SRT 存取我的帳戶** – Shield 會移除您先前授予 SRT 的任何許可,以存取您的帳戶和資源。
+ **為 SRT 建立新角色以存取我的帳戶** – Shield 會建立信任`drt.shield.amazonaws.com`代表 SRT 之服務委託人 的角色,並將受管政策連接至`AWSShieldDRTAccessPolicy`該角色。受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。
+ **選擇 SRT 的現有角色來存取我的帳戶** – 對於此選項,您必須在 AWS Identity and Access Management (IAM) 中修改角色的組態,如下所示:
+ 將受管政策 `AWSShieldDRTAccessPolicy` 連接至角色。此受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。如需有關將受管政策連接至角色的資訊,請參閱[連接和分離 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ 修改角色以信任服務委託人 `drt.shield.amazonaws.com`。這是代表 SRT 的服務主體。如需詳細資訊,請參閱 [IAM JSON 政策元素:委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
1. 選擇**儲存**,以儲存變更。
如需授予 SRT 存取您的保護和資料的詳細資訊,請參閱 [授予 SRT 的存取權](ddos-srt-access.md)。
**啟用 SRT 主動參與**
1. 在 AWS Shield 主控台**概觀**頁面的**主動參與和聯絡人**下,於聯絡人區域選擇**編輯**。
在**編輯聯絡人**頁面中,提供您希望 SRT 主動參與聯絡人的聯絡資訊。
如果您提供多個聯絡案例,請在**備註**中指出應該使用每個聯絡案例的情況。包含主要和次要聯絡人指定,並提供每個聯絡人的可用時間和時區。
聯絡備註範例:
+ 這是全年無休配置的熱線。請與回應分析師合作,他們會在通話中取得適當的人員。
+ 如果熱線未在 5 分鐘內回應,請聯絡我。
1. 選擇**儲存**。
**概觀**頁面反映更新的聯絡資訊。
1. 選擇**編輯主動參與功能**,選擇**啟用**,然後選擇**儲存**以啟用主動參與。
如需主動參與的詳細資訊,請參閱 [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
# 在 CloudWatch 中建立 DDoS 儀表板並設定 CloudWatch 警示
此頁面提供在 CloudWatch 中建立 DDoS 儀表板和設定 CloudWatch 警示的指示。
您可以使用 Amazon CloudWatch 監控潛在的 DDoS 活動,該活動會從 Shield Advanced 收集原始資料,並將其處理為可讀且近乎即時的指標。您可以使用 CloudWatch 中的統計資料來深入了解 Web 應用程式或服務的效能。如需使用 CloudWatch 的詳細資訊,請參閱《Amazon [ CloudWatch 使用者指南》中的什麼是](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) CloudWatch。 *Amazon CloudWatch *
+ 如需建立 CloudWatch 儀表板的說明,請參閱 [使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
+ 如需可新增至儀表板的 Shield Advanced 指標說明,請參閱 [AWS Shield Advanced 指標](shield-metrics.md)。
Shield Advanced 會在 DDoS 事件期間比未進行事件時更頻繁地向 CloudWatch 報告資源指標。Shield Advanced 會在事件期間每分鐘報告一次指標,然後在事件結束後立即報告一次指標。雖然沒有進行中的事件,但 Shield Advanced 每天在指派給資源的時間報告一次指標。此定期報告會保持指標作用中,並可用於您的自訂 CloudWatch 警示。
如此即完成開始使用 Shield Advanced 的教學課程。若要充分利用您選擇的保護,請繼續探索 Shield Advanced 的功能和選項。若要開始,請熟悉您在 [使用 Shield Advanced 的 DDoS 事件可見性](ddos-viewing-events.md)和 中檢視和回應事件的選項[在 中回應 DDoS 事件 AWS](ddos-responding.md)。
# 具有 Shield Response Team (SRT) 支援的受管 DDoS 事件回應
此頁面說明 Shield 回應團隊 (SRT) 的 函數。
SRT 為 Shield Advanced 客戶提供額外支援。SRT 是專門處理 DDoS 事件回應的安全工程師。作為您 AWS 支援 計劃的額外支援,您可以直接與 SRT 合作,利用他們的專業知識作為事件回應工作流程的一部分。如需選項和組態指引的相關資訊,請參閱下列主題。
**注意**
若要使用 Shield 回應團隊 (SRT) 的服務,您必須訂閱[商業支援計劃](https://aws.amazon.com/premiumsupport/business-support/)或[企業支援計劃](https://aws.amazon.com/premiumsupport/enterprise-support/)。
Shield Response Team (SRT) 在提供 Shield Advanced 的區域中提供服務,並為 GovCloud 區域、 AWS GovCloud (美國東部) 和 AWS GovCloud (美國西部) 的客戶提供服務。
**SRT 支援活動**
與 SRT 互動的主要目標是保護應用程式的可用性和效能。根據 DDoS 事件的類型和應用程式的架構,SRT 可能會採取下列一或多個動作:
+ **AWS WAF 日誌分析和規則** – 對於使用 AWS WAF Web ACL 的資源,SRT 可以分析您的 AWS WAF 日誌,以識別應用程式 Web 請求中的攻擊特性。在參與期間獲得您的核准後,SRT 可以將變更套用至您的 Web ACL,以封鎖他們已識別的攻擊。
+ **建置自訂網路緩解措施** – SRT 可以為您撰寫基礎設施層攻擊的自訂緩解措施。SRT 可以與您一起了解應用程式預期的流量、封鎖非預期的流量,以及最佳化每秒封包速率限制。如需詳細資訊,請參閱[使用 SRT 設定針對 DDoS 攻擊的自訂緩解措施](ddos-srt-custom-mitigations.md)。
+ **網路流量工程** – SRT 與 AWS 聯網團隊緊密合作,以保護 Shield Advanced 客戶。必要時, AWS 可以變更網際網路流量到達 AWS 網路的方式,以便為您的應用程式配置更多緩解容量。
+ **架構建議** – SRT 可能會判斷攻擊的最佳緩解措施需要架構變更,才能更符合 AWS 最佳實務,並協助您實作這些實務。如需詳細資訊,請參閱 [AWS DDoS 彈性的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)。
下列各節提供與 SRT 互動的說明
**Topics**
+ [授予 SRT 的存取權](ddos-srt-access.md)
+ [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)
+ [聯絡 SRT 以取得可疑 DDoS 事件的協助](ddos-srt-contacting.md)
+ [使用 SRT 設定針對 DDoS 攻擊的自訂緩解措施](ddos-srt-custom-mitigations.md)
# 授予 SRT 的存取權
此頁面提供授予許可給 SRT 以代表您執行動作的指示,以便他們可以存取您的 AWS WAF 日誌並呼叫 AWS Shield Advanced 和 AWS WAF APIs來管理保護。
在應用程式層 DDoS 事件期間,SRT 可以監控 AWS WAF 請求以識別異常流量,並協助制定自訂 AWS WAF 規則來緩解違規的流量來源。
此外,您可以授予 SRT 存取 Amazon S3 儲存貯體中存放的其他資料,例如 Application Load Balancer、Amazon CloudFront 或第三方來源的封包擷取或日誌。
**注意**
若要使用 Shield 回應團隊 (SRT) 的服務,您必須訂閱[商業支援計劃](https://aws.amazon.com/premiumsupport/business-support/)或[企業支援計劃](https://aws.amazon.com/premiumsupport/enterprise-support/)。
**管理 SRT 的許可**
1. 在 AWS Shield 主控台**概觀**頁面**的設定 AWS SRT 支援**下,選擇**編輯 SRT 存取**。**編輯 Shield AWS 回應團隊 (SRT) 存取**頁面隨即開啟。
1. 針對 **SRT 存取設定**,選取其中一個選項:
+ **請勿授予 SRT 存取我的帳戶** – Shield 會移除您先前授予 SRT 的任何許可,以存取您的帳戶和資源。
+ **為 SRT 建立新角色以存取我的帳戶** – Shield 會建立信任`drt.shield.amazonaws.com`代表 SRT 之服務委託人 的角色,並將受管政策連接至`AWSShieldDRTAccessPolicy`該角色。受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。
+ **選擇 SRT 的現有角色來存取我的帳戶** – 對於此選項,您必須在 AWS Identity and Access Management (IAM) 中修改角色的組態,如下所示:
+ 將受管政策 `AWSShieldDRTAccessPolicy` 連接至角色。此受管政策允許 SRT 代表您進行 AWS Shield Advanced 和 AWS WAF API 呼叫,並存取您的 AWS WAF 日誌。如需受管政策的更多相關資訊,請參閱[AWS 受管政策:AWSShieldDRTAccessPolicy](shd-security-iam-awsmanpol.md#shd-security-iam-awsmanpol-AWSShieldDRTAccessPolicy)。如需有關將受管政策連接至角色的資訊,請參閱[連接和分離 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)。
+ 修改角色以信任服務委託人 `drt.shield.amazonaws.com`。這是代表 SRT 的服務主體。如需詳細資訊,請參閱 [IAM JSON 政策元素:委託人](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
1. 對於 **(選用):將 SRT 存取權授予 Amazon S3 儲存貯**體,如果您需要共用不在 AWS WAF Web ACL 日誌中的資料,請設定此選項。例如,Application Load Balancer 存取日誌、Amazon CloudFront 日誌或第三方來源的日誌。
**注意**
您不需要為 AWS WAF Web ACL 日誌執行此操作。當您授予帳戶存取權時,SRT 可以存取這些項目。
1. 根據下列準則設定 Amazon S3 儲存貯體:
+ 儲存貯體位置必須與您在上一個步驟 **AWS Shield 回應團隊 (SRT) 存取中授予 SRT **一般存取權的位置 AWS 帳戶 相同。
+ 儲存貯體可以是純文字或 SSE-S3 加密。如需 Amazon S3 SSE-S3 加密的詳細資訊,請參閱《Amazon S3 使用者指南》中的[使用伺服器端加密搭配 Amazon S3-Managed加密金鑰 (SSE-S3) 保護資料](https://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html)。 Amazon S3
SRT 無法檢視或處理存放在儲存貯體中的日誌,這些儲存貯體使用存放在 AWS Key Management Service () 中的金鑰加密AWS KMS。
1. 在 Shield Advanced **(選用):授予 Amazon S3 儲存貯體的 SRT 存取權**,針對儲存資料或日誌的每個 Amazon S3 儲存貯體,輸入儲存貯體的名稱,然後選擇**新增儲存貯體**。您最多可以新增 10 個儲存貯體。
這會授予 SRT 每個儲存貯體的下列許可:`s3:GetObject`、 `s3:GetBucketLocation`和 `s3:ListBucket`。
如果您想要授予 SRT 存取超過 10 個儲存貯體的許可,您可以編輯其他儲存貯體政策並手動授予此處列出的 SRT 許可。
以下顯示範例政策清單。
```
{
"Sid": "AWSDDoSResponseTeamAccessS3Bucket",
"Effect": "Allow",
"Principal": {
"Service": "drt.shield.amazonaws.com"
},
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::bucket-name",
"arn:aws:s3:::bucket-name/*"
]
}
```
1. 選擇**儲存**,以儲存變更。
您也可以透過 API 授權 SRT,方法是建立 IAM 角色、將政策 AWSShieldDRTAccessPolicy 連接至該角色,然後將該角色傳遞至操作 [AssociateDRTRole](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_AssociateDRTRole.html)。
# 設定主動參與,讓 SRT 直接與您聯絡
此頁面提供設定 SRT 主動參與的說明。
透過主動參與,SRT 會在應用程式的可用性或效能因可能的攻擊而受到影響時直接與您聯絡。我們建議您使用此參與模型,因為它提供最快的 SRT 回應,並允許 SRT 在與您建立聯絡之前就開始故障診斷。
主動參與適用於彈性 IP 地址和 AWS Global Accelerator 標準加速器上的網路層和傳輸層事件,以及 Amazon CloudFront 分佈和 Application Load Balancer 上的 Web 請求洪水。主動參與僅適用於具有相關聯 Amazon Route 53 運作狀態檢查的 Shield Advanced 資源保護。如需有關管理和使用運作狀態檢查的資訊,請參閱 [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
在 Shield Advanced 偵測到的事件期間,SRT 會使用運作狀態檢查的狀態來判斷事件是否符合主動參與的資格。若是如此,SRT 會根據您在主動參與組態中提供的聯絡指引與您聯絡。
您最多可以設定十位聯絡人進行主動參與,而且您可以提供備註來引導 SRT 與您聯絡。您的主動參與聯絡人應該可在事件期間與 SRT 互動。如果您沒有全年無休的營運中心,您可以提供呼叫器聯絡人,並在聯絡備註中指出此聯絡人偏好設定。
主動參與需要您執行下列動作:
+ 您必須訂閱[商業支援計劃](https://aws.amazon.com/premiumsupport/business-support/)或[企業支援計劃](https://aws.amazon.com/premiumsupport/enterprise-support/)。
+ 您必須將 Amazon Route 53 運作狀態檢查與您希望透過主動參與保護的任何資源建立關聯。SRT 會使用運作狀態檢查的狀態,協助判斷事件是否需要主動參與,因此運作狀態檢查必須準確反映受保護資源的狀態。如需詳細資訊和指引,請參閱 [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
+ 對於與 AWS WAF Web ACL 相關聯的資源,您必須使用 AWS WAF (v2) 建立 Web ACL,這是 的最新版本 AWS WAF。
+ 您必須為 SRT 提供至少一個聯絡人,以便在事件期間用於主動參與。保持您的聯絡資訊完整且為最新狀態。
**啟用 SRT 主動參與**
1. 在 AWS Shield 主控台**概觀**頁面的**主動參與和聯絡人**下,於聯絡人區域選擇**編輯**。
在**編輯聯絡人**頁面中,提供您希望 SRT 主動參與聯絡人的聯絡資訊。
如果您提供多個聯絡案例,請在**備註**中指出應該使用每個聯絡案例的情況。包含主要和次要聯絡人指定,並提供每個聯絡人的可用時間和時區。
聯絡備註範例:
+ 這是全年無休配置的熱線。請與回應分析師合作,他們會在通話中取得適當的人員。
+ 如果熱線未在 5 分鐘內回應,請聯絡我。
1. 選擇**儲存**。
**概觀**頁面反映更新的聯絡資訊。
1. 選擇**編輯主動參與功能**,選擇**啟用**,然後選擇**儲存**以啟用主動參與。
# 聯絡 SRT 以取得可疑 DDoS 事件的協助
您可以透過下列其中一種方式聯絡 SRT:
**支援案例**
您可以在**AWS 支援中心**主控台**AWS Shield**的 下開啟案例。
如需建立支援案例的指引,請參閱 [AWS 支援 中心](https://docs.aws.amazon.com/awssupport/latest/user/case-management.html)。
選取適合您情況的嚴重性,並提供您的聯絡詳細資訊。在描述中,盡可能提供詳細資訊。提供您認為可能受到影響的任何受保護資源的相關資訊,以及最終使用者體驗的目前狀態。例如,如果您的使用者體驗降級或部分應用程式目前無法使用,請提供該資訊。
+ **對於可疑的 DDoS 攻擊** – 如果您應用程式的可用性或效能目前受到可能的 DDoS 攻擊影響,請選擇下列嚴重性和聯絡選項:
+ 針對嚴重性,請選擇您支援計劃可用的最高嚴重性:
+ 對於商業支援,這是**生產系統關閉:< 1 小時**。
+ 對於企業支援,這是**業務關鍵系統關閉:< 15 分鐘**。
+ 針對聯絡選項,選取**電話**或**聊天**,並提供您的詳細資訊。使用即時聯絡方法提供最快的回應。
**主動參與**
透過 AWS Shield Advanced 主動參與,如果與受保護資源相關聯的 Amazon Route 53 運作狀態檢查在偵測到事件期間變得運作狀態不佳,SRT 會直接與您聯絡。如需有關此選項的詳細資訊,請參閱 [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
# 使用 SRT 設定針對 DDoS 攻擊的自訂緩解措施
此頁面提供使用 SRT 的指示,以建置針對 DDoS 攻擊的自訂緩解措施。
對於您的彈性 IPs(EIPs) 和 AWS Global Accelerator 標準加速器,您可以使用 SRT 來設定自訂緩解措施。如果您知道應在放置緩解措施時強制執行的特定邏輯,這會很有用。例如,您可能只想要允許來自特定國家/地區的流量、強制執行特定速率限制、設定選用驗證、不允許片段,或只允許符合封包承載中特定模式的流量。
常見的自訂緩解措施範例包括下列項目:
+ **模式比對** – 如果您操作與用戶端應用程式互動的服務,您可以選擇比對這些應用程式獨有的已知模式。例如,您可以操作遊戲或通訊服務,要求最終使用者安裝您分發的特定軟體。您可以在應用程式傳送到服務的每個封包中包含魔術數字。您可以比對未分段 TCP 或 UDP 封包承載和標頭的最多 128 個位元組 (個別或連續)。相符項目可以十六進位表示法表示為封包承載開頭的特定位移,或遵循已知值的動態位移。例如,緩解措施可以尋找位元組,`0x01`然後預期 `0x12345678`會是接下來的四個位元組。
+ **DNS 特定** – 如果您使用 Global Accelerator 或 Amazon Elastic Compute Cloud (Amazon EC2) 等服務操作自己的授權 DNS 服務,您可以請求自訂緩解措施來驗證封包,以確保它們是有效的 DNS 查詢,並套用可疑評分來評估 DNS 流量特定的屬性。
若要查詢如何使用 SRT 建置自訂緩解措施,請在 下建立支援案例 AWS Shield。若要進一步了解如何建立 AWS 支援 案例,請參閱 [入門 AWS 支援](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。
# 中的資源保護 AWS Shield Advanced
您可以新增和設定 資源的 AWS Shield Advanced 保護。您可以管理單一資源的保護,也可以將受保護的資源分組為邏輯集合,以獲得更好的事件管理。您也可以使用 追蹤 Shield Advanced 保護的變更 AWS Config。
**注意**
Shield Advanced 僅保護您在 Shield Advanced 中或透過 Shield Advanced AWS Firewall Manager 政策指定的資源。它不會自動保護您的資源。
如果您使用的是 AWS Firewall Manager Shield Advanced 政策,則不需要管理政策範圍內資源的保護。Firewall Manager 會根據政策組態,自動管理政策範圍內的帳戶和資源保護。如需詳細資訊,請參閱[在 Firewall Manager 中使用 AWS Shield Advanced 政策](shield-policies.md)。
**Topics**
+ [AWS Shield Advanced 保護 的資源清單](ddos-protections-by-resource-type.md)
+ [使用 Shield Advanced 保護 Amazon EC2 執行個體和 Network Load Balancer](ddos-protections-ec2-nlb.md)
+ [使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF](ddos-app-layer-protections.md)
+ [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)
+ [為 AWS 資源新增 AWS Shield Advanced 保護](configure-new-protection.md)
+ [編輯 AWS Shield Advanced 保護](manage-protection.md)
+ [為 Shield Advanced 保護的資源建立警示和通知](add-alarm-ddos.md)
+ [從 AWS 資源移除 AWS Shield Advanced 保護](remove-protection.md)
+ [將您的 AWS Shield Advanced 保護分組](ddos-protection-groups.md)
+ [在 中追蹤 Shield Advanced 資源保護變更 AWS Config](ddos-add-config.md)
# AWS Shield Advanced 保護 的資源清單
本節提供有關每個資源類型的 Shield Advanced 保護的資訊。
Shield Advanced 會保護網路和傳輸層 (第 3 層和第 4 層) 以及應用程式層 (第 7 層) 中的 AWS 資源。您可以透過與受保護的資源建立關聯,直接保護某些資源和其他資源。Shield Advanced 支援 IPv4,且不支援 IPv6。
**注意**
Shield Advanced 僅保護您在 Shield Advanced 中或透過 AWS Firewall Manager Shield Advanced 政策指定的資源。它不會自動保護您的資源。
您可以使用 Shield Advanced 搭配下列資源類型進行進階監控和保護:
+ Amazon CloudFront 分佈。對於 CloudFront 連續部署,Shield Advanced 會保護與受保護的主要分佈相關聯的任何預備分佈。
+ Amazon Route 53 託管區域。
+ AWS Global Accelerator 標準加速器。
+ Amazon EC2 彈性 IP 地址。Shield Advanced 會保護與受保護彈性 IP 地址相關聯的資源。
+ Amazon EC2 執行個體,透過與 Amazon EC2 彈性 IP 地址的關聯。
+ 下列 Elastic Load Balancing (ELB) 負載平衡器:
+ Application Load Balancer。
+ Classic Load Balancer。
+ Network Load Balancer,透過與 Amazon EC2 彈性 IP 地址的關聯。
**注意**
您無法使用 Shield Advanced 來保護任何其他資源類型。例如,您無法保護 AWS Global Accelerator 自訂路由加速器或 Gateway Load Balancer。
**注意**
NAT Gateways 只會處理傳出流量,而 Shield Advanced 則可防止傳入 DDoS。對於傳出流量保護,請使用 [AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html)。
您可以針對每個資源類型監控和保護最多 1,000 個資源 AWS 帳戶。例如,在單一帳戶中,您可以保護 1,000 個 Amazon EC2 彈性 IP 地址、1,000 個 CloudFront 分佈和 1,000 個 Application Load Balancer。您可以透過位於 https://[https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/) 的 Service Quotas 主控台,請求增加 Shield Advanced 可保護的資源數量。
# 使用 Shield Advanced 保護 Amazon EC2 執行個體和 Network Load Balancer
此頁面說明如何使用 Amazon EC2 執行個體和 Network Load Balancer 的 AWS Shield Advanced 保護。
您可以先將這些資源連接至彈性 IP 地址,然後在 Shield Advanced 中保護彈性 IP 地址,以保護 Amazon EC2 執行個體和 Network Load Balancer。
當您保護彈性 IP 地址時,Shield Advanced 會識別並保護它們連接的資源。Shield Advanced 會自動識別連接到彈性 IP 地址的資源類型,並套用該資源的適當偵測和緩解措施。這包括設定彈性 IP 地址特有的網路 ACLs。如需搭配 AWS 資源使用彈性 IP 地址的詳細資訊,請參閱下列指南:[Amazon Elastic Compute Cloud 文件](https://docs.aws.amazon.com/ec2/)或 [Elastic Load Balancing 文件](https://docs.aws.amazon.com/elasticloadbalancing/)。
在攻擊期間,Shield Advanced 會自動將您的網路 ACLs 部署到 AWS 網路邊界。當您的網路 ACLs 位於網路邊界時,Shield Advanced 可以提供對較大 DDoS 事件的保護。一般而言,網路 ACLs會在 Amazon VPC 內的 Amazon EC2 執行個體附近套用。網路 ACL 只能減輕您的 Amazon VPC 和執行個體可以處理的大型攻擊。例如,如果連接至 Amazon EC2 執行個體的網路界面最多可以處理 10 Gbps,則超過 10 Gbps 的磁碟區將減慢速度,並可能封鎖對該執行個體的流量。在攻擊期間,Shield Advanced 會將您的網路 ACL 提升為 AWS 邊界,以處理多個 TB 的流量。您的網路 ACL 能夠提供您的資源遠超過網路典型容量的保護。如需網路 ACL 的詳細資訊,請參閱 [網路 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
有些擴展工具 AWS Elastic Beanstalk,例如,不會讓您自動將彈性 IP 地址連接到 Network Load Balancer。在這些情況下,您需要手動連接彈性 IP 地址。
# 使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF
此頁面說明 Shield Advanced 和 如何 AWS WAF 共同保護應用程式層 (第 7 層) 的資源。
若要使用 Shield Advanced 保護您的應用程式層資源,請先將 AWS WAF Web ACL 與資源建立關聯,並在其中新增一或多個以速率為基礎的規則。此外,您還可以啟用自動應用程式層 DDoS 緩解,這會導致 Shield Advanced 代表您自動建立和管理 Web ACL 規則,以回應 DDoS 攻擊。
當您使用 Shield Advanced 保護應用程式層資源時,Shield Advanced 會分析一段時間內的流量,以建立和維護基準。Shield Advanced 使用這些基準來偵測可能表示 DDoS 攻擊的流量模式異常。Shield Advanced 偵測到攻擊的時間點取決於 Shield Advanced 在攻擊之前能夠觀察到的流量,以及您用於 Web 應用程式的架構。可能影響 Shield Advanced 行為的架構變化包括您使用的執行個體類型、執行個體大小,以及執行個體類型是否支援增強型聯網。您也可以設定 Shield Advanced 以自動放置應用程式層攻擊的緩解措施。
**Shield Advanced 訂閱和 AWS WAF 成本**
Shield Advanced 訂閱涵蓋您使用 Shield Advanced 保護之資源的標準 AWS WAF 功能的成本。Shield Advanced 保護涵蓋的標準 AWS WAF 費用是每個保護套件的成本 (Web ACL)、每個規則的成本,以及 Web 請求檢查每百萬請求的基本價格,最多可達 1,500 個 WCUs,最多可達預設內文大小。
啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱[使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)、[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
您對 Shield Advanced 的訂閱不涵蓋對使用 Shield Advanced 時未保護之資源 AWS WAF 的 使用。它也不會涵蓋受保護資源的任何其他非標準 AWS WAF 成本。非標準 AWS WAF 成本的範例包括機器人控制、CAPTCHA規則動作、使用超過 1,500 個 WCUs ACLs,以及檢查超出預設內文大小的請求內文。 AWS WAF 定價頁面上提供完整清單。您對 Shield Advanced 的訂閱包括對 Layer 7 Anti-DDoS Amazon Managed Rule 群組的存取。作為訂閱的一部分,您會在一個日曆月收到最多 500 億個 Shield Advanced 受保護 AWS WAF 資源的請求。超過 500 億的請求將根據 AWS Shield Advanced 定價頁面計費。
如需完整資訊和定價範例,請參閱 [Shield 定價](https://aws.amazon.com/shield/pricing/)和[AWS WAF 定價](https://aws.amazon.com/waf/pricing/)。
**Topics**
+ [使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單](ddos-app-layer-detection-mitigation.md)
+ [使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層](ddos-app-layer-web-ACL-and-rbr.md)
+ [使用 AWS WAF 速率型規則和 Shield Advanced 保護應用程式層](ddos-app-layer-rbr.md)
+ [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)
# 使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單
本節說明影響 Shield Advanced 偵測和緩解應用程式層事件的因素。
**運作狀態檢查**
準確報告應用程式整體運作狀態的運作狀態檢查可提供 Shield Advanced 有關應用程式所遇到流量條件的資訊。當您的應用程式回報運作狀態不佳時,Shield Advanced 需要的資訊較少,而且如果您的應用程式回報狀況良好,則需要更多攻擊的證據。
請務必設定運作狀態檢查,以便準確報告應用程式運作狀態。如需詳細資訊和指引,請參閱 [透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
**流量基準**
流量基準可提供有關應用程式正常流量特性的 Shield Advanced 資訊。Shield Advanced 使用這些基準來識別您的應用程式未接收正常流量的時間,因此它可以通知您,並根據設定開始設計和測試緩解選項,以抵禦潛在的攻擊。如需 Shield Advanced 如何使用流量基準來偵測潛在事件的詳細資訊,請參閱概觀一節[應用程式層威脅的 Shield Advanced 偵測邏輯 (第 7 層)](ddos-event-detection-application.md)。
Shield Advanced 會根據與受保護資源相關聯的 Web ACL 提供的資訊建立其基準。Web ACL 必須與資源建立關聯至少 24 小時,最長 30 天,Shield Advanced 才能可靠地判斷應用程式的基準。當您透過 Shield Advanced 或透過 關聯 Web ACL 時,所需的時間就會開始 AWS WAF。
如需搭配 Shield Advanced 應用程式層保護使用 Web ACL 的詳細資訊,請參閱 [使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層](ddos-app-layer-web-ACL-and-rbr.md)。
**速率為基礎的規則**
以速率為基礎的規則有助於緩解攻擊。它們也可以掩護攻擊,方法是在攻擊變成足夠大的問題之前予以緩解,以針對正常流量基準顯示或在運作狀態檢查狀態報告中顯示。
當您使用 Shield Advanced 保護應用程式資源時,我們建議您在 Web ACL 中使用以速率為基礎的規則。即使他們的緩解措施可以掩蓋潛在的攻擊,但它們是寶貴的第一道防線,有助於確保您的應用程式可供您的合法客戶使用。以速率為基礎的規則偵測到的流量和速率限制會顯示在指標 AWS WAF 中。
除了您自己的速率型規則之外,如果您啟用自動應用程式層 DDoS 緩解,Shield Advanced 會將規則群組新增至 Web ACL,以用於緩解攻擊。在此規則群組中,Shield Advanced 一律具有以速率為基礎的規則,可限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。Shield Advanced 規則緩解的流量指標無法供您檢視。
如需速率型規則的詳細資訊,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。如需有關 Shield Advanced 用於自動應用程式層 DDoS 緩解的速率型規則的資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)。
如需 Shield Advanced 和 AWS WAF 指標的詳細資訊,請參閱[使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
# 使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層
此頁面說明 AWS WAF Web ACLs 和 Shield Advanced 如何共同建立基本應用程式層保護。
若要使用 Shield Advanced 保護應用程式層資源,請先將 AWS WAF Web ACL 與 資源建立關聯。 AWS WAF 是一種 Web 應用程式防火牆,可讓您監控轉送至應用程式層資源的 HTTP 和 HTTPS 請求,並可讓您根據請求的特性控制對內容的存取。您可以設定 Web ACL,根據請求的來源、查詢字串和 Cookie 的內容,以及來自單一 IP 地址的請求速率等因素來監控和管理請求。Shield Advanced 保護至少會要求您將 Web ACL 與速率型規則建立關聯,這會限制每個 IP 地址的請求速率。
如果關聯的 Web ACL 未定義以速率為基礎的規則,Shield Advanced 會提示您定義至少一個規則。速率型規則會在流量超過您定義的閾值時,自動封鎖來自來源 IPs 的流量。它們有助於保護您的應用程式免受 Web 請求洪水的影響,並可提供有關流量突然峰值的提醒,這可能表示潛在的 DDoS 攻擊。
**注意**
以速率為基礎的規則會非常快速地回應規則正在監控的流量尖峰。因此,以速率為基礎的規則不僅可以防止攻擊,還可以防止 Shield Advanced 偵測潛在攻擊的偵測。這種權衡有利於防止對攻擊模式的完全可見性。我們建議您使用以速率為基礎的規則作為防禦攻擊的第一道防線。
準備好 Web ACL 後,如果發生 DDoS 攻擊,您可以透過在 Web ACL 中新增和管理規則來套用緩解措施。您可以在 Shield 回應團隊 (SRT) 的協助下直接執行此操作,或透過自動應用程式層 DDoS 緩解措施自動執行此操作。
**重要**
如果您也使用自動應用程式層 DDoS 緩解措施,請參閱 中管理 Web ACL 的最佳實務[使用自動應用程式層 DDoS 緩解措施的最佳實務](ddos-automatic-app-layer-response-bp.md)。
如需使用 AWS WAF 來管理 Web 請求監控和管理規則的資訊,請參閱 [在 中建立保護套件 (Web ACL) AWS WAF](web-acl-creating.md)。
# 使用 AWS WAF 速率型規則和 Shield Advanced 保護應用程式層
此頁面說明以 AWS WAF 速率為基礎的規則和 Shield Advanced 如何一起運作,以建立基本的應用程式層保護。
當您使用速率型規則搭配其預設組態時, 會 AWS WAF 定期評估過去 5 分鐘時段的流量。 會 AWS WAF 封鎖來自超過規則閾值之任何 IP 地址的請求,直到請求速率下降到可接受的層級為止。當您透過 Shield Advanced 設定速率型規則時,將其速率閾值設定為大於您在任何五分鐘時段內從任何一個來源 IP 預期的正常流量速率的值。
您可能想要在 Web ACL 中使用多個以速率為基礎的規則。例如,對於具有高閾值的所有流量,以及設定為符合 Web 應用程式特定部分且閾值較低的一或多個額外規則,您可以有一個速率型規則。例如,您可以在具有較低閾值`/login.html`的 URI 上進行比對,以減少對登入頁面的濫用。
您可以設定以速率為基礎的規則,以使用不同的評估時段,並依數個請求元件彙總請求,例如標頭值、標籤和查詢引數。如需詳細資訊,請參閱[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
如需詳細資訊和指導,請參閱安全部落格文章 [三個最重要的以 AWS WAF 速率為基礎的規則](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/)。
**透過 擴充組態選項 AWS WAF**
Shield Advanced 主控台可讓您新增以速率為基礎的規則,並使用基本的預設設定進行設定。您可以透過管理以速率為基礎的規則來定義其他組態選項 AWS WAF。例如,您可以設定規則,根據轉送 IP 地址、查詢字串和標籤等金鑰彙總請求。您也可以將縮小範圍陳述式新增至規則,從評估和速率限制中篩選掉一些請求。如需詳細資訊,請參閱[在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
# 使用 Shield Advanced 自動化應用程式層 DDoS 緩解
**注意**
從 2026 年 3 月 26 日開始, 的反 DDoS 受管規則群組 (Anti-DDOS AMR) AWS WAF 成為防止 HTTP 請求洪水攻擊的預設解決方案 (請參閱[反 DDoS AMR 啟動部落格](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/))。它取代 Layer 7 Auto Mitigation (L7AM) 功能。如果您是現有的 Shield Advanced 客戶,您可以繼續將舊版解決方案與現有或新 AWS 帳戶搭配使用。不過,我們建議您採用反 DDoS 受管規則群組。反 DDoS 受管規則群組會在幾秒鐘內偵測和緩解攻擊,而不是幾分鐘。如果您是 Shield Advanced 的新客戶,且需要存取舊版解決方案,請聯絡 AWS Support。
此頁面介紹自動應用程式層 DDoS 緩解措施的主題,並列出相關聯的警告。
您可以設定 Shield Advanced 來自動回應,透過計算或封鎖屬於攻擊一部分的 Web 請求,來減輕對受保護應用程式層資源的應用程式層 (第 7 層) 攻擊。此選項是您透過 Shield Advanced 使用 AWS WAF Web ACL 和您自己的速率型規則新增的應用程式層保護的補充。
為資源啟用自動緩解時,Shield Advanced 會在資源相關聯的 Web ACL 中維護規則群組,以代表資源管理緩解規則。規則群組包含以速率為基礎的規則,可追蹤來自已知為 DDoS 攻擊來源之 IP 地址的請求量。
此外,Shield Advanced 會將目前的流量模式與歷史流量基準進行比較,以偵測可能表示 DDoS 攻擊的偏差。Shield Advanced 會透過在規則群組中建立、評估和部署其他自訂 AWS WAF 規則,來回應偵測到的 DDoS 攻擊。
## 使用自動應用程式層 DDoS 緩解措施的注意事項
以下清單說明 Shield Advanced 自動應用程式層 DDoS 緩解措施的注意事項,並說明您可能想要採取的步驟。
+ 自動應用程式層 DDoS 緩解僅適用於使用最新版本 (v2) 建立的保護套件 AWS WAF (Web ACLs)。
+ Shield Advanced 需要時間來建立應用程式正常、歷史流量的基準,它利用它來偵測和隔離攻擊流量與正常流量,以緩解攻擊流量。從您將 Web ACL 與受保護的應用程式資源建立關聯起,建立基準的時間介於 24 小時到 30 天之間。如需流量基準的其他資訊,請參閱 [使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單](ddos-app-layer-detection-mitigation.md)。
+ 啟用自動應用程式層 DDoS 緩解措施會將規則群組新增至使用 150 個 Web ACL 容量單位 (WCUs) 的保護套件 (Web ACL)。這些 WCUs會計入保護套件 (Web ACL) 中的 WCU 用量。如需詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md) 和 [中的 Web ACL 容量單位 WCUs) AWS WAF](aws-waf-capacity-units.md)。
+ Shield Advanced 規則群組會產生 AWS WAF 指標,但無法檢視。這與您在保護套件 (Web ACL) 中使用的任何其他規則群組相同,但不會擁有,例如 AWS 受管規則規則群組。如需 AWS WAF 指標的詳細資訊,請參閱 [AWS WAF 指標和維度](waf-metrics.md)。如需此 Shield Advanced 保護選項的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](#ddos-automatic-app-layer-response)。
+ 對於保護多個資源ACLs,自動緩解只會部署不會對任何受保護資源產生負面影響的自訂緩解措施。
+ 從開始 DDoS 攻擊到 Shield Advanced 放置自訂自動緩解規則的時間會隨每個事件而異。有些 DDoS 攻擊可能會在部署自訂規則之前結束。當緩解措施已就緒時,可能會發生其他攻擊,因此從事件開始時,這些規則可能會緩解。此外,Web ACL 和 Shield Advanced 規則群組中的速率型規則可能會在偵測到為可能事件之前緩解攻擊流量。
+ 對於透過內容交付網路 (CDN) 接收任何流量的 Application Load Balancer,例如 Amazon CloudFront,Shield Advanced 對這些 Application Load Balancer 資源的應用程式層自動緩解功能將會減少。Shield Advanced 使用用戶端流量屬性來識別攻擊流量,並將攻擊流量從正常流量隔離到您的應用程式,而 CDNs可能不會保留或轉送原始用戶端流量屬性。如果您使用 CloudFront,我們建議您在 CloudFront 分佈上啟用自動緩解。
+ 自動應用程式層 DDoS 緩解措施不會與保護群組互動。您可以為保護群組中的資源啟用自動緩解,但 Shield Advanced 不會根據保護群組調查結果自動套用攻擊緩解。Shield Advanced 會針對個別資源套用自動攻擊緩解措施。
**Contents**
+ [使用自動應用程式層 DDoS 緩解措施的注意事項](#ddos-automatic-app-layer-response-caveats)
+ [使用自動應用程式層 DDoS 緩解措施的最佳實務](ddos-automatic-app-layer-response-bp.md)
+ [啟用自動應用程式層 DDoS 緩解](ddos-automatic-app-layer-response-config.md)
+ [當您啟用自動緩解時會發生什麼情況](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)
+ [Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理規則動作設定](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
+ [Shield Advanced 如何在攻擊消失時管理緩解措施](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
+ [當您停用自動緩解時會發生什麼情況](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)
+ [檢視資源的自動應用程式層 DDoS 緩解組態](view-automatic-app-layer-response-configuration.md)
+ [啟用和停用自動應用程式層 DDoS 緩解](enable-disable-automatic-app-layer-response.md)
+ [變更用於自動應用程式層 DDoS 緩解的動作](change-action-of-automatic-app-layer-response.md)
+ [使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解](manage-automatic-mitigation-in-cfn.md)
# 使用自動應用程式層 DDoS 緩解措施的最佳實務
當您使用自動緩解時,請遵循本節中提供的指引。
**一般保護管理**
請遵循這些準則來規劃和實作您的自動緩解保護。
+ 透過 Shield Advanced 管理所有自動緩解保護,或者如果您使用 AWS Firewall Manager 來透過 Firewall Manager 管理 Shield Advanced 自動緩解設定。請勿混合使用 Shield Advanced 和 Firewall Manager 來管理這些保護。
+ 使用相同的 Web ACLs 和保護設定管理類似的資源,並使用不同的 Web ACLs 管理不同的資源。當 Shield Advanced 緩解受保護資源的 DDoS 攻擊時,它會定義與資源相關聯的 Web ACL 規則,然後針對與 Web ACL 相關聯的所有資源流量測試規則。Shield Advanced 只會套用不會對任何相關聯資源產生負面影響的規則。如需詳細資訊,請參閱[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
+ 對於透過 Amazon CloudFront 分佈代理其所有網際網路流量的 Application Load Balancer, 只會在 CloudFront 分佈上啟用自動緩解。CloudFront 分佈始終具有最多的原始流量屬性,Shield Advanced 會利用這些屬性來緩解攻擊。
**偵測和緩解最佳化**
遵循這些準則,以最佳化自動緩解為受保護資源提供的保護。如需應用程式層偵測和緩解的概觀,請參閱 [使用 Shield Advanced 影響應用程式層事件偵測和緩解的因素清單](ddos-app-layer-detection-mitigation.md)。
+ 設定受保護資源的運作狀態檢查,並使用它們在 Shield Advanced 保護中啟用運作狀態型偵測。如需準則,請參閱[透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測](ddos-advanced-health-checks.md)。
+ 在 Shield Advanced 建立正常、歷史流量的基準之前,在 Count 模式中啟用自動緩解。Shield Advanced 需要 24 小時到 30 天才能建立基準。
建立正常流量模式的基準需要下列項目:
+ Web ACL 與受保護資源的關聯。您可以 AWS WAF 直接使用 建立 Web ACL 的關聯,也可以讓 Shield Advanced 在啟用 Shield Advanced 應用程式層保護並指定要使用的 Web ACL 時建立關聯。
+ 一般流量流向受保護的應用程式。如果您的應用程式未遇到正常流量,例如在啟動應用程式之前,或長時間缺乏生產流量,則無法收集歷史資料。
**Web ACL 管理**
遵循這些準則來管理您用於自動緩解ACLs。
+ 如果您需要取代與受保護資源相關聯的 Web ACL,請依序進行下列變更:
1. 在 Shield Advanced 中,停用自動緩解。
1. 在 中 AWS WAF,取消舊 Web ACL 的關聯,並關聯新的 Web ACL。
1. 在 Shield Advanced 中,啟用自動緩解。
Shield Advanced 不會自動將自動緩解措施從舊的 Web ACL 轉移到新的 Web ACL。
+ 請勿從名稱開頭為 ACLs 刪除任何規則群組規則`ShieldMitigationRuleGroup`。如果您刪除此規則群組,則會針對與 Web ACL 相關聯的每個資源停用 Shield Advanced 自動緩解提供的保護。此外,Shield Advanced 可能需要一些時間才能收到變更通知並更新其設定。在此期間,Shield Advanced 主控台頁面將提供不正確的資訊。
如需規則群組的詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)。
+ 請勿修改名稱開頭為 的規則群組規則名稱`ShieldMitigationRuleGroup`。這樣做可能會干擾 Shield Advanced 透過 Web ACL 自動緩解提供的保護。
+ 當您建立規則和規則群組時,請勿使用開頭為 的名稱`ShieldMitigationRuleGroup`。Shield Advanced 使用此字串來管理您的自動緩解措施。
+ 在您的 Web ACL 規則管理中,請勿指派 10,000,000 的優先順序設定。Shield Advanced 會在新增時將此優先順序設定指派給其自動緩解規則群組規則。
+ 將`ShieldMitigationRuleGroup`規則保持優先,以便在您希望它與 Web ACL 中的其他規則相關時執行。Shield Advanced 會將規則群組規則新增至優先順序為 10,000,000 的 Web ACL,以便在其他規則之後執行。如果您使用 AWS WAF 主控台精靈來管理 Web ACL,請在將規則新增至 Web ACL 之後視需要調整優先順序設定。
+ 如果您使用 AWS CloudFormation 來管理 Web ACLs,則不需要管理`ShieldMitigationRuleGroup`規則群組規則。遵循 中的指引[使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解](manage-automatic-mitigation-in-cfn.md)。
# 啟用自動應用程式層 DDoS 緩解
此頁面說明如何設定 Shield Advanced 以自動回應應用程式層攻擊。
您可以在資源的應用程式層 DDoS 保護中啟用 Shield Advanced 自動緩解。如需透過 主控台執行此操作的詳細資訊,請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。
自動緩解功能需要您執行下列動作:
+ **將 Web ACL 與 資源建立關聯** – 這是任何 Shield Advanced 應用程式層保護的必要項目。您可以針對多個資源使用相同的 Web ACL。我們建議僅對具有類似流量的資源執行此操作。如需有關 Web ACLs 的資訊,包括搭配多個資源使用它們的要求,請參閱 [AWS WAF 運作方式](how-aws-waf-works.md)。
+ **啟用和設定 Shield Advanced 自動應用程式層 DDoS 緩解** – 當您啟用此功能時,您可以指定是否要 Shield Advanced 自動封鎖或計數其判定為 DDoS 攻擊一部分的 Web 請求。Shield Advanced 會將規則群組新增至相關聯的 Web ACL,並使用它來動態管理其對資源上 DDoS 攻擊的回應。如需規則動作選項的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
+ **(選用,但建議) 將速率型規則新增至 Web ACL** – 根據預設,速率型規則透過防止任何個別 IP 地址在短時間內傳送太多請求,為您的資源提供基本的 DDoS 攻擊防護。如需速率型規則的相關資訊,包括自訂請求彙總選項和範例,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
## 當您啟用自動緩解時會發生什麼情況
當您啟用自動緩解時,Shield Advanced 會執行下列動作:
+ **視需要新增 Shield Advanced 使用的規則群組** – 如果您與資源相關聯的 AWS WAF Web ACL 還沒有專用於自動應用程式層 DDoS 緩解的 AWS WAF 規則群組規則,Shield Advanced 會新增規則群組規則。
規則群組規則的名稱以 開頭`ShieldMitigationRuleGroup`。規則群組一律包含名為 的速率型規則`ShieldKnownOffenderIPRateBasedRule`,這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。如需 Shield Advanced 規則群組和參考它的 Web ACL 規則的其他詳細資訊,請參閱 [使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)。
+ **開始回應對資源的 DDoS 攻擊** – Shield Advanced 會自動回應受保護資源的 DDoS 攻擊。除了永遠存在的速率型規則之外,Shield Advanced 也會使用其規則群組來部署自訂 AWS WAF 規則,以緩解 DDoS 攻擊。Shield Advanced 會根據您的應用程式和應用程式遇到的攻擊量身打造這些規則,並在部署之前根據資源的歷史流量進行測試。
Shield Advanced 會在您用於自動緩解的任何 Web ACL 中使用單一規則群組規則。如果 Shield Advanced 已新增另一個受保護資源的規則群組,則不會將另一個規則群組新增至 Web ACL。
自動應用程式層 DDoS 緩解取決於規則群組是否存在,以緩解攻擊。如果規則群組因任何原因從 AWS WAF Web ACL 中移除,移除會停用與 Web ACL 相關聯的所有資源的自動緩解。
# Shield Advanced 如何管理自動緩解
本節中的主題說明 Shield Advanced 如何處理自動應用程式層 DDoS 緩解的組態變更,以及啟用自動緩解時如何處理 DDoS 攻擊。
**Topics**
+ [Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊](#ddos-automatic-app-layer-response-ddos-attack)
+ [Shield Advanced 如何管理規則動作設定](#ddos-automatic-app-layer-response-rule-action)
+ [Shield Advanced 如何在攻擊消失時管理緩解措施](#ddos-automatic-app-layer-response-after-attack)
+ [當您停用自動緩解時會發生什麼情況](#ddos-automatic-app-layer-response-disable)
## Shield Advanced 如何使用自動緩解來回應 DDoS 攻擊
當您在受保護的資源上啟用自動緩解時,Shield Advanced 規則群組`ShieldKnownOffenderIPRateBasedRule`中的速率型規則會自動回應來自已知 DDoS 來源的流量增加。此速率限制會快速套用,並做為對抗攻擊的前線防禦。
當 Shield Advanced 偵測到攻擊時,它會執行下列動作:
1. 嘗試識別攻擊簽章,以隔離攻擊流量與應用程式的一般流量。目標是產生高品質的 DDoS 緩解規則,這些規則在放置時只會影響攻擊流量,不會影響應用程式的正常流量。
1. 針對受攻擊資源的歷史流量模式,以及與相同 Web ACL 相關聯的任何其他資源,評估已識別的攻擊簽章。Shield Advanced 會在部署任何規則以回應事件之前執行此操作。
根據評估結果,Shield Advanced 會執行下列其中一項操作:
+ 如果 Shield Advanced 判斷攻擊簽章只會隔離涉及 DDoS 攻擊的流量,則會在 Web ACL 的 Shield Advanced 緩解規則群組中的 AWS WAF 規則中實作簽章。Shield Advanced 會為這些規則提供您已為資源的自動緩解設定的動作設定 - Count或 Block。
+ 否則,Shield Advanced 不會放置緩解措施。
在整個攻擊過程中,Shield Advanced 會傳送相同的通知,並提供與基本 Shield Advanced 應用程式層保護相同的事件資訊。您可以在 Shield Advanced 事件主控台中查看有關事件和 DDoS 攻擊,以及有關攻擊的任何 Shield Advanced 緩解措施的資訊。如需相關資訊,請參閱[使用 Shield Advanced 的 DDoS 事件可見性](ddos-viewing-events.md)。
如果您已將自動緩解設定為使用Block規則動作,並且從 Shield Advanced 部署的緩解規則遇到誤報,您可以將規則動作變更為 Count。如需如何執行此操作的詳細資訊,請參閱 [變更用於自動應用程式層 DDoS 緩解的動作](change-action-of-automatic-app-layer-response.md)。
## Shield Advanced 如何管理規則動作設定
您可以將自動緩解措施的規則動作設定為 Block或 Count。
當您變更受保護資源的自動緩解規則動作設定時,Shield Advanced 會更新資源的所有規則設定。它會更新 Shield Advanced 規則群組中資源目前採用的任何規則,並在建立新規則時使用新的動作設定。
對於使用相同 Web ACL 的資源,如果您指定不同的動作,Shield Advanced 會使用規則群組的速率型規則 Block的動作設定`ShieldKnownOffenderIPRateBasedRule`。Shield Advanced 會代表特定受保護資源在規則群組中建立和管理其他規則,並使用您為資源指定的動作設定。Web ACL 中 Shield Advanced 規則群組中的所有規則都會套用至所有相關聯資源的 Web 流量。
變更動作設定可能需要幾秒鐘的時間才能傳播。在此期間,您可能會在規則群組正在使用的某些位置看到舊設定,在其他位置看到新設定。
您可以在 主控台的事件頁面,以及透過應用程式層組態頁面,變更自動緩解組態的規則動作設定。如需事件頁面的資訊,請參閱 [在 中回應 DDoS 事件 AWS](ddos-responding.md)。如需組態頁面的詳細資訊,請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。
## Shield Advanced 如何在攻擊消失時管理緩解措施
當 Shield Advanced 判斷不再需要為特定攻擊部署的緩解規則時,它會將其從 Shield Advanced 緩解規則群組中移除。
移除緩解規則不一定與攻擊結束一致。Shield Advanced 會監控在受保護資源上偵測到的攻擊模式。它可能會主動防禦具有特定簽章的攻擊,方法是保留其已部署的規則,以防止該攻擊的初始發生。Shield Advanced 會視需要增加規則保留的時間窗口。如此一來,Shield Advanced 可能會在特定簽章影響您的受保護資源之前緩解重複攻擊。
Shield Advanced 永遠不會移除以速率為基礎的規則 `ShieldKnownOffenderIPRateBasedRule`,這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。
## 當您停用自動緩解時會發生什麼情況
當您停用資源的自動緩解時,Shield Advanced 會執行下列動作:
+ **停止自動回應 DDoS 攻擊** – Shield Advanced 會停止其資源的自動回應活動。
+ **從 Shield Advanced 規則群組中移除不需要的規則** – 如果 Shield Advanced 代表受保護的資源在其受管規則群組中維護任何規則,則會將其移除。
+ **如果不再使用 Shield Advanced 規則群組,請將其移除** – 如果您與資源相關聯的 Web ACL 未與已啟用自動緩解的任何其他資源相關聯,Shield Advanced 會從 Web ACL 中移除其規則群組規則。
# 使用 Shield Advanced 規則群組保護應用程式層
此頁面說明 Shield Advanced 規則群組如何在 Web ACL 中運作。
Shield Advanced 會使用其擁有並為您管理的規則群組中的規則來管理自動緩解活動。Shield Advanced 會使用您已與受保護資源建立關聯的 Web ACL 中的規則來參考規則群組。
**Web ACL 中的規則群組規則**
Web ACL 中的 Shield Advanced 規則群組規則具有下列屬性:
+ **名稱** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Web ACL 容量單位 (WCU)** – 150。這些 WCUs會計入 Web ACL 中的 WCU 用量。
Shield Advanced 會在 Web ACL 中建立此規則,優先順序設定為 10,000,000,因此它會在 Web ACL 中的其他規則和規則群組之後執行。 AWS WAF 會在 Web ACL 中從最低的數值優先順序設定執行規則。在您管理 Web ACL 期間,此優先順序設定可能會變更。
除了 Web ACL 中規則群組使用的 WCUs 之外,自動緩解功能不會消耗您帳戶中的任何其他 AWS WAF 資源。例如,Shield Advanced 規則群組不會計入您帳戶的其中一個規則群組。如需 中帳戶限制的相關資訊 AWS WAF,請參閱 [AWS WAF 配額](limits.md)。
**規則群組中的規則**
在參考的 Shield Advanced 規則群組中,Shield Advanced 會維護以速率為基礎的規則 `ShieldKnownOffenderIPRateBasedRule`,這會限制來自已知為 DDoS 攻擊來源之 IP 地址的請求量。此規則可做為防禦任何攻擊的第一道防線,因為它一律存在於規則群組中,且不依賴流量模式的分析來包含攻擊。此規則的動作會設定為您為自動緩解選擇的動作,就像規則群組中的其他規則一樣。如需速率型規則的相關資訊,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。
**注意**
速率型規則`ShieldKnownOffenderIPRateBasedRule`的運作與 Shield Advanced 事件偵測無關。啟用自動緩解時,此規則速率會限制已知為 DDoS 攻擊來源的 IP 地址。對於這些 IP 地址,規則的速率限制可以防止攻擊,也可以防止攻擊出現在 Shield Advanced 偵測資訊中。這種權衡有利於防止對攻擊模式的完全可見性。
除了上述永久速率型規則之外,規則群組還包含 Shield Advanced 目前用於緩解 DDoS 攻擊的任何規則。Shield Advanced 會視需要新增、修改和移除這些規則。如需相關資訊,請參閱[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
**指標**
規則群組會產生 AWS WAF 指標,但由於此規則群組是 Shield Advanced 所擁有,因此這些指標無法檢視。如需詳細資訊,請參閱[AWS WAF 指標和維度](waf-metrics.md)。
# 檢視資源的自動應用程式層 DDoS 緩解組態
您可以在**受保護資源**頁面和個別保護頁面中檢視資源的自動應用程式層 DDoS 緩解組態。
**檢視自動應用程式層 DDoS 緩解組態**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。在受保護資源清單中, 欄**自動應用程式層 DDoS 緩解**指出是否啟用自動緩解,以及啟用時,Shield Advanced 將在其緩解中使用的動作。
您也可以選取任何應用程式層資源,以查看資源保護頁面上列出的相同資訊。
# 啟用和停用自動應用程式層 DDoS 緩解
下列程序說明如何啟用或停用受保護資源的自動回應。
**啟用或停用單一資源的自動應用程式層 DDoS 緩解**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 的 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護**索引標籤中,選取您要啟用自動緩解的應用程式層資源。資源的保護頁面隨即開啟。
1. 在資源的保護頁面中,選擇**編輯**。
1. 在頁面**設定全域資源的第 7 層 DDoS 緩解 - *選用***,針對**自動應用程式層 DDoS 緩解**,選擇您要用於自動緩解的選項。主控台中的選項如下:
+ **保留目前的設定** – 不變更受保護資源的自動緩解設定。
+ **啟用** – 啟用受保護資源的自動緩解。當您選擇此選項時,也請選取您希望自動緩解措施在 Web ACL 規則中使用的規則動作。如需規則動作設定的資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。
如果您的受保護資源還沒有正常應用程式流量的歷史記錄,請在 Count 模式下啟用自動緩解,直到 Shield Advanced 可以建立基準。當您將 Web ACL 與受保護的資源建立關聯時,Shield Advanced 會開始收集其基準的資訊,而且建立正常流量的良好基準可能需要 24 小時到 30 天。
+ **停用** – 停用受保護資源的自動緩解。
1. 演練其餘頁面,直到您完成並儲存組態為止。
在**保護**頁面中,會更新資源的自動緩解設定。
# 變更用於自動應用程式層 DDoS 緩解的動作
您可以在 主控台的多個位置變更 Shield Advanced 用於其應用程式層自動回應的動作:
+ **自動緩解組態** – 當您為資源設定自動緩解時,變更 動作。如需此程序,請參閱上一節[啟用和停用自動應用程式層 DDoS 緩解](enable-disable-automatic-app-layer-response.md)。
+ **事件詳細資訊頁面** – 當您在主控台中檢視事件資訊時,變更事件詳細資訊頁面中的動作。如需相關資訊,請參閱[檢視 AWS Shield Advanced 事件詳細資訊](ddos-event-details.md)。
如果您有兩個共用 Web ACL 的受保護資源,並且將一個 和Block另一個Count的 動作設定為 ,則 Shield Advanced 會將規則群組的速率型規則的動作`ShieldKnownOffenderIPRateBasedRule`設定為 Block。
# 使用 AWS CloudFormation 搭配自動應用程式層 DDoS 緩解
此頁面說明如何使用 CloudFormation 來管理您的保護和 AWS WAF Web ACLs。
**啟用或停用自動應用程式層 DDoS 緩解措施**
您可以使用 `AWS::Shield::Protection` 資源 AWS CloudFormation,透過 啟用和停用自動應用程式層 DDoS 緩解。效果與透過主控台或任何其他界面啟用或停用功能時相同。如需 CloudFormation 資源的相關資訊,請參閱《 *AWS CloudFormation 使用者指南*》中的 [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)。
**管理用於自動緩解ACLs**
Shield Advanced 會使用受保護資源的 AWS WAF Web ACL 中的規則群組規則來管理受保護資源的自動緩解。透過 AWS WAF 主控台和 APIs,您會看到 Web ACL 規則中列出的規則,其名稱開頭為 `ShieldMitigationRuleGroup`。此規則專用於您的自動應用程式層 DDoS 緩解,並由 Shield Advanced 和 為您管理 AWS WAF。如需詳細資訊,請參閱[使用 Shield Advanced 規則群組保護應用程式層](ddos-automatic-app-layer-response-rg.md)及[Shield Advanced 如何管理自動緩解](ddos-automatic-app-layer-response-behavior.md)。
如果您使用 CloudFormation 來管理 Web ACLs,請勿將 Shield Advanced 規則群組規則新增至 Web ACL 範本。當您更新與自動緩解保護搭配使用的 Web ACL 時, AWS WAF 會自動管理 Web ACL 中的規則群組規則。
與透過 管理的其他 Web ACLs 相比,您會看到以下差異 CloudFormation:
+ CloudFormation 如果沒有規則, 不會報告 Web ACL 的實際組態、Shield Advanced 規則群組規則和 Web ACL 範本之間堆疊偏離狀態的任何偏離。Shield Advanced 規則不會出現在偏離詳細資訊中資源的實際清單中。
您將能夠在 Web ACL 清單中看到 Shield Advanced 規則群組規則,例如 AWS WAF透過 AWS WAF 主控台或 AWS WAF APIs擷取。
+ 如果您在堆疊中修改 Web ACL 範本, AWS WAF 且 Shield Advanced 會自動在更新的 Web ACL 中維護 Shield Advanced 自動緩解規則。Shield Advanced 提供的自動緩解保護不會因您對 Web ACL 的更新而中斷。
請勿在 CloudFormation Web ACL 範本中管理 Shield Advanced 規則。Web ACL 範本不應列出 Shield Advanced 規則。遵循 Web ACL 管理的最佳實務,網址為 [使用自動應用程式層 DDoS 緩解措施的最佳實務](ddos-automatic-app-layer-response-bp.md)。
# 透過 Shield Advanced 和 Route 53 使用運作狀態檢查進行運作狀態型偵測
您可以設定 Shield Advanced 使用以運作狀態為基礎的偵測,以提高攻擊偵測和緩解的回應能力和準確性。您可以搭配 Route 53 託管區域以外的任何資源類型使用此選項。
若要設定運作狀態型偵測,請在 Route 53 中定義資源的運作狀態檢查,確認報告狀態良好,然後將其與您的 Shield Advanced 保護建立關聯。如需有關 Route 53 運作狀態檢查的資訊,請參閱[《Amazon Route 53 開發人員指南》中的 Amazon Route 53 如何檢查資源的運作狀態](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html),以及[建立、更新和刪除運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html)。
**注意**
Shield 回應團隊 (SRT) 主動參與支援需要運作狀態檢查。如需主動參與的相關資訊,請參閱 [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
運作狀態檢查會根據您定義的要求來測量資源的運作狀態。運作狀態檢查狀態為 Shield Advanced 偵測機制提供重要輸入,讓它們對特定應用程式的目前狀態更敏感。
您可以針對 Route 53 託管區域以外的任何資源類型啟用運作狀態型偵測。
+ **網路和傳輸層 (第 3 層/第 4 層) 資源** – 運作狀態型偵測可改善 Network Load Balancer、彈性 IP 地址和 Global Accelerator 標準加速器的網路層和傳輸層事件偵測和緩解的準確性。當您使用 Shield Advanced 保護這些資源類型時,Shield Advanced 可以為較小的攻擊提供緩解措施,並為攻擊提供更快的緩解措施,即使流量在應用程式的容量內。
當您新增以運作狀態為基礎的偵測時,在相關運作狀態檢查運作狀態不佳的期間,Shield Advanced 可以更快地以更低的閾值放置緩解措施。
+ **應用程式層 (第 7 層) 資源** – 運作狀態型偵測可改善 CloudFront 分佈和 Application Load Balancer 的 Web 請求洪水偵測準確性。當您使用 Shield Advanced 保護這些資源類型時,如果流量出現統計上顯著的偏差,並結合流量模式的重大變更,根據請求特性,您會收到 Web 請求洪水偵測警示。
透過以運作狀態為基礎的偵測,當相關聯的 Route 53 運作狀態檢查運作狀態不佳時,Shield Advanced 需要較小的偏差來提醒,並更快速地報告事件。相反地,當相關聯的 Route 53 運作狀態檢查良好時,Shield Advanced 需要較大的偏差來提醒。
如果運作狀態檢查僅在您的應用程式在可接受的參數內執行時報告運作狀態良好,且僅在未執行時報告運作狀態不佳,您將受益於搭配 Shield Advanced 使用運作狀態檢查。使用本節中的指引,在 Shield Advanced 中管理運作狀態檢查關聯。
**注意**
Shield Advanced 不會自動管理您的運作狀態檢查。
以下是搭配 Shield Advanced 使用運作狀態檢查的必要條件:
+ 當您將其與 Shield Advanced 保護建立關聯時,運作狀態檢查必須報告正常。
+ 運作狀態檢查必須與受保護資源的運作狀態相關。您有責任根據應用程式的特定需求,定義和維護可準確報告應用程式運作狀態的運作狀態檢查。
+ 運作狀態檢查必須保持可供 Shield Advanced 保護使用。請勿在 Route 53 中刪除您用於 Shield Advanced 保護的運作狀態檢查。
**Contents**
+ [搭配 Shield Advanced 使用運作狀態檢查的最佳實務](health-checks-best-practices.md)
+ [CloudWatch 指標通常用於使用 Shield Advanced 進行運作狀態檢查](health-checks-metrics.md)
+ [用於監控應用程式運作狀態的指標](health-checks-metrics.md#health-checks-metrics-common)
+ [每個資源類型的 Amazon CloudWatch 指標](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [將運作狀態檢查與 Shield Advanced 保護的資源建立關聯](associate-health-check.md)
+ [取消運作狀態檢查與 Shield Advanced 保護之資源的關聯](disassociate-health-check.md)
+ [在 Shield Advanced 中檢視運作狀態檢查關聯狀態](health-check-association-status.md)
+ [Shield Advanced 的運作狀態檢查範例](health-checks-examples.md)
+ [Amazon CloudFront 分佈](health-checks-examples.md#health-checks-example-cloudfront)
+ [負載平衡器](health-checks-examples.md#health-checks-example-load-balancer)
+ [Amazon EC2 彈性 IP 地址 (EIP)](health-checks-examples.md#health-checks-example-elastic-ip)
# 搭配 Shield Advanced 使用運作狀態檢查的最佳實務
當您使用 Shield Advanced 建立和使用運作狀態檢查時,請遵循本節中的最佳實務。
+ 透過識別您要監控的基礎設施元件來規劃運作狀態檢查。請考慮下列運作狀態檢查的資源類型:
+ 關鍵資源。
+ 在 Shield Advanced 偵測和緩解中您希望更高敏感度的任何資源。
+ 您希望 Shield Advanced 主動與您聯絡的資源。您的運作狀態檢查狀態會通知主動參與。
您可能想要監控的資源範例包括 Amazon CloudFront 分佈、面向網際網路的負載平衡器和 Amazon EC2 執行個體。
+ 定義運作狀態檢查,以盡可能少的通知準確反映應用程式原始伺服器的運作狀態。
+ 寫入運作狀態檢查,使其只在應用程式無法使用或未在可接受的參數內執行時運作狀態不佳。您有責任根據應用程式的特定需求來定義和維護運作狀態檢查。
+ 盡可能使用最少的運作狀態檢查,同時仍準確報告應用程式的運作狀態。例如,來自您應用程式多個區域的多個警示,若皆回報相同的問題,可能會為您的回應活動增加額外負荷,而不會新增資訊值。
+ 使用計算的運作狀態檢查,透過 Amazon CloudWatch 指標的組合來監控應用程式的運作狀態。例如,您可以根據應用程式伺服器的延遲及其 5xx 錯誤率來計算合併運作狀態,這表示原始伺服器未滿足請求。
+ 視需要建立您自己的應用程式運作狀態指標並將其發佈至 CloudWatch 自訂指標,並在計算的運作狀態檢查中使用它們。
+ 實作和管理運作狀態檢查,以改善偵測並減少不必要的維護活動。
+ 將運作狀態檢查與 Shield Advanced 保護建立關聯之前,請確定其處於運作狀態。關聯報告運作狀態不佳的運作狀態檢查可能會扭曲受保護資源的 Shield Advanced 偵測機制。
+ 讓運作狀態檢查可供 Shield Advanced 使用。請勿在 Route 53 中刪除您用於 Shield Advanced 保護的運作狀態檢查。
+ 僅使用預備和測試環境來測試運作狀態檢查。僅針對需要生產層級效能和可用性的環境維護運作狀態檢查關聯。請勿在 Shield Advanced 中維護預備和測試環境的運作狀態檢查關聯。
# CloudWatch 指標通常用於使用 Shield Advanced 進行運作狀態檢查
本節列出運作狀態檢查中常用的 Amazon CloudWatch 指標,以在分散式拒絕服務 (DDoS) 事件期間測量應用程式運作狀態。如需每個資源類型的 CloudWatch 指標的完整資訊,請參閱 資料表後面的清單。
**Topics**
+ [用於監控應用程式運作狀態的指標](#health-checks-metrics-common)
+ [每個資源類型的 Amazon CloudWatch 指標](#health-checks-protected-resource-metrics)
## 用於監控應用程式運作狀態的指標
| 資源 | 指標 | Description |
| --- | --- | --- |
| Route 53 | `HealthCheckStatus` | 運作狀態檢查端點的狀態。 |
| CloudFront | `5xxErrorRate` | HTTP 狀態碼為 5xx 的所有請求百分比。這表示攻擊會影響應用程式。 |
| Application Load Balancer | `HTTPCode_ELB_5XX_Count` | 負載平衡器產生的 HTTP 5xx 用戶端錯誤代碼數目。 |
| Application Load Balancer | `RejectedConnectionCount` | 由於負載平衡器達到其最大連線數而被拒絕的連線數。 |
| Application Load Balancer | `TargetConnectionErrorCount` | 負載平衡器與目標之間未成功建立的連線數目。 |
| Application Load Balancer | `TargetResponseTime` | 請求離開負載平衡器以及收到目標的回應後所經過的時間,以秒為單位。 |
| Application Load Balancer | `UnHealthyHostCount` | 視為不健康的目標數目。 |
| Amazon EC2 | `CPUUtilization` | 目前正在使用的已配置 EC2 運算單位百分比。 |
## 每個資源類型的 Amazon CloudWatch 指標
如需受保護資源可用指標的其他資訊,請參閱資源指南中的下列章節:
+ Amazon Route 53 – [《Amazon Route 53 開發人員指南》中的使用 Amazon Route 53 運作狀態檢查和 Amazon CloudWatch 監控您的資源](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html)。
+ Amazon CloudFront – [Amazon CloudFront 開發人員指南中的使用 Amazon CloudWatch 監控](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html) Amazon CloudFront。
+ Application Load Balancer – [Application Load Balancer 使用者指南中的 Application Load Balancer CloudWatch 指標 Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html)。
+ Network Load Balancer – Network [ Load Balancer 使用者指南中的 Network Load Balancer CloudWatch 指標](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html)。
+ AWS Global Accelerator – [在 開發人員指南中使用 Amazon CloudWatch 搭配 AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html) 。 AWS Global Accelerator
+ Amazon Elastic Compute Cloud – [在 https:// 中列出執行個體可用的 CloudWatch 指標](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html)。 https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/
+ Amazon EC2 Auto Scaling – Amazon EC2 Auto [ Auto Scaling 使用者指南》中的監控 Auto Scaling 群組和執行個體的 CloudWatch 指標](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html)。 Auto Scaling
# 將運作狀態檢查與 Shield Advanced 保護的資源建立關聯
下列程序說明如何將 Amazon Route 53 運作狀態檢查與受保護的資源建立關聯。
**注意**
將運作狀態檢查與 Shield Advanced 保護建立關聯之前,請確定其處於運作狀態。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的[監控運作狀態檢查狀態和取得通知](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html)。
**建立運作狀態檢查的關聯**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護**索引標籤上,選取要與運作狀態檢查建立關聯的資源。
1. 選擇**設定保護**。
1. 選擇**下一步**,直到您前往頁面**設定運作狀態檢查型 DDoS 偵測 - *選用***。
1. 在 **Associate Health Check (關聯運作狀態檢查)** 下,選擇您要與保護產生關聯的運作狀態檢查 ID。
**注意**
如果您沒有看到所需的運作狀態檢查,請前往 Route 53 主控台並驗證運作狀態檢查及其 ID。如需相關資訊,請參閱[建立和更新運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 演練其餘頁面,直到您完成組態為止。在**保護**頁面上,會列出資源的更新運作狀態檢查關聯。
1. 在**保護**頁面上,檢查新關聯的運作狀態檢查是否正常報告。
當運作狀態檢查報告運作狀態不佳時,您無法在 Shield Advanced 中成功開始使用運作狀態檢查。這樣做會導致 Shield Advanced 在非常低的閾值下偵測誤報,也可能對 Shield 回應團隊 (SRT) 為資源提供主動參與的能力產生負面影響。
如果新關聯的運作狀態檢查報告運作狀態不佳,請執行下列動作:
1. 在 Shield Advanced 中取消運作狀態檢查與保護的關聯。
1. 在 Amazon Route 53 中重新檢視運作狀態檢查規格,並驗證您的整體應用程式效能和可用性。
1. 當您的應用程式在參數中執行以取得良好運作狀態,且運作狀態檢查報告運作狀態良好時,請再試一次,在 Shield Advanced 中建立運作狀態檢查的關聯。
當您建立新的運作狀態檢查關聯,並在 Shield Advanced 中報告運作狀態良好時,運作狀態檢查關聯程序即完成。
# 取消運作狀態檢查與 Shield Advanced 保護之資源的關聯
下列程序說明如何取消 Amazon Route 53 運作狀態檢查與受保護資源的關聯。
**取消運作狀態檢查的關聯**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護**索引標籤上,選取要與運作狀態檢查取消關聯的資源。
1. 選擇**設定保護**。
1. 選擇**下一步**,直到您前往頁面**設定運作狀態檢查型 DDoS 偵測 - *選用***。
1. 在**關聯的運作狀態檢查**下,選擇空選項,列為 **-**。
1. 演練其餘頁面,直到您完成組態為止。
在**保護**頁面上,資源的運作狀態檢查欄位設定為 **-**,表示沒有運作狀態檢查關聯。
# 在 Shield Advanced 中檢視運作狀態檢查關聯狀態
您可以在 & Shield 主控台**的受保護資源**頁面和每個資源的詳細資訊頁面上,查看與保護 AWS WAF 相關聯的運作狀態檢查狀態。
+ **運作狀態良好** – 運作狀態檢查可用,且報告運作狀態良好。
+ **運作狀態不佳** – 運作狀態檢查可用,且報告運作狀態不佳。
+ **無法使用** – 運作狀態檢查無法供 Shield Advanced 使用。
**解決**無法使用**的運作狀態檢查**
建立和使用新的運作狀態檢查。在 Shield Advanced 中狀態為無法使用之後,請勿嘗試再次關聯運作狀態檢查。
如需遵循這些步驟的詳細指引,請參閱上述主題。
1. 在 Shield Advanced 中,取消運作狀態檢查與資源的關聯。
1. 在 Route 53 中,為資源建立新的運作狀態檢查,並記下其 ID。如需詳細資訊,請參閱《Amazon Route 53 開發人員指南》中的[建立和更新運作狀態檢查](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html)。
1. 在 Shield Advanced 中,將新的運作狀態檢查與資源建立關聯。
# Shield Advanced 的運作狀態檢查範例
本節顯示您可以在計算的運作狀態檢查中使用的運作狀態檢查範例。計算的運作狀態檢查會使用多個個別的運作狀態檢查來判斷合併狀態。每個個別運作狀態檢查的狀態取決於端點的運作狀態或 Amazon CloudWatch 指標的狀態。您可以將運作狀態檢查合併為計算的運作狀態檢查,然後設定計算的運作狀態檢查,以根據個別運作狀態檢查的合併運作狀態報告運作狀態。根據您的應用程式效能和可用性需求,調整計算的運作狀態檢查的敏感度。
如需有關計算的運作狀態檢查的資訊,請參閱《Amazon Route 53 開發人員指南》中的[監控其他運作狀態檢查 (計算的運作狀態檢查)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated)。如需詳細資訊,請參閱部落格文章 [Route 53 改進 – 計算的運作狀態檢查和延遲檢查](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/)。
**Topics**
+ [Amazon CloudFront 分佈](#health-checks-example-cloudfront)
+ [負載平衡器](#health-checks-example-load-balancer)
+ [Amazon EC2 彈性 IP 地址 (EIP)](#health-checks-example-elastic-ip)
## Amazon CloudFront 分佈
下列範例說明可以合併為 CloudFront 分佈的計算運作狀態檢查的運作狀態檢查:
+ 透過在提供動態內容的分發上指定路徑的網域名稱來監控端點。運作狀態良好的回應會包含 HTTP 回應代碼 2xx 和 3xx。
+ 監控測量 CloudFront 原始伺服器運作狀態的 CloudWatch 警示狀態。 CloudFront 例如,您可以在 Application Load Balancer 指標 上維護 CloudWatch 警示`TargetResponseTime`,並建立反映警示狀態的運作狀態檢查。當回應時間、離開負載平衡器的請求與負載平衡器收到目標的回應之間, 超出警示中設定的閾值時,運作狀態檢查可能運作狀態不佳。
+ 監控 CloudWatch 警示的狀態,以測量回應的 HTTP 狀態碼為 5xx 的請求百分比。如果 CloudFront 分佈的 5xx 錯誤率高於 CloudWatch 警示中定義的閾值,則此運作狀態檢查的狀態將切換為運作狀態不佳。
## 負載平衡器
下列範例說明可用於 Application Load Balancer、Network Load Balancer 或 Global Accelerator 標準加速器的計算運作狀態檢查的運作狀態檢查。
+ 監控 CloudWatch 警示的狀態,以測量用戶端與負載平衡器建立的新連線數。您可以在某種程度上設定高於每日平均值的新連線平均數的警示閾值。每種資源類型的指標如下:
+ Application Load Balancer: `NewConnectionCount`
+ Network Load Balancer: `ActiveFlowCount`
+ Global Accelerator: `NewFlowCount`
+ 對於 Application Load Balancer 和 Network Load Balancer,監控 CloudWatch 警示的狀態,以測量視為運作狀態良好的負載平衡器數量。您可以在可用區域或負載平衡器所需的運作狀態良好主機數量下限上設定警示閾值。負載平衡器資源的可用指標如下:
+ Application Load Balancer: `HealthyHostCount`
+ Network Load Balancer: `HealthyHostCount`
+ 對於 Application Load Balancer,監控 CloudWatch 警示的狀態,以測量負載平衡器目標產生的 HTTP 5xx 回應碼數目。對於 Application Load Balancer,您可以使用 指標,`HTTPCode_Target_5XX_Count`並將警示閾值以負載平衡器所有 5xx 錯誤的總和為基礎。
## Amazon EC2 彈性 IP 地址 (EIP)
下列範例運作狀態檢查可以合併為 Amazon EC2 彈性 IP 地址的計算運作狀態檢查:
+ 透過指定彈性 IP 地址來監控端點。只要可以使用 IP 地址後方的資源建立 TCP 連線,運作狀態檢查就會保持正常運作。
+ 監控 CloudWatch 警示的狀態,以測量目前執行個體上使用的已配置 Amazon EC2 運算單位百分比。您可以使用 Amazon EC2 指標`CPUUtilization`,並根據您認為應用程式的高 CPU 使用率來建立警示閾值,例如 90%。
# 為 AWS 資源新增 AWS Shield Advanced 保護
遵循本節中的指引,將 Shield Advanced 保護新增至一或多個資源。
**新增 AWS 資源的保護**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在導覽窗格中, AWS Shield 選擇**受保護的資源**。
1. 選擇**新增要保護的資源**。
1. 在**使用 Shield Advanced 選擇要保護的資源**頁面中,在**指定區域和資源類型**中,為您要保護的資源提供區域和資源類型規格。您可以選取**所有**區域來保護多個區域中的資源,也可以選取全域,將選取範圍縮小為**全域**資源。您可以取消選取任何您不想保護的資源類型。如需 資源類型的保護資訊,請參閱 [AWS Shield Advanced 保護 的資源清單](ddos-protections-by-resource-type.md)。
1. 選擇**載入資源**。Shield Advanced 會將符合您條件的資源填入**選取資源**區段 AWS 。
1. 在**選取資源**區段中,您可以輸入要在資源清單中搜尋的字串來篩選資源清單。
選取您要保護的資源。
1. 在**標籤**區段中,如果您想要將標籤新增至您正在建立的 Shield Advanced 保護,請指定這些保護。如需標記 AWS 資源的資訊,請參閱[使用標籤編輯器](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html)。
1. 選擇**使用 Shield Advanced 保護**。這會將 Shield Advanced 保護新增至資源。
# 編輯 AWS Shield Advanced 保護
您可以隨時變更 AWS Shield Advanced 保護的設定。若要這樣做,請逐步解說所選保護的選項,並修改您需要變更的設定。
**管理受保護的資源**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護**索引標籤中,選取您要保護的資源。
1. 選擇**設定保護**和資源規格選項。
1. 逐步解說每個資源保護選項,並視需要進行變更。
## 設定應用程式層 DDoS 保護
為了防止 Amazon CloudFront 和 Application Load Balancer 資源受到攻擊,您可以新增 AWS WAF Web ACLs 並新增速率型規則。如需詳細資訊,請參閱 [使用 AWS WAF Web ACLs 和 Shield Advanced 保護應用程式層](ddos-app-layer-web-ACL-and-rbr.md)。
您也可以啟用 Shield Advanced 自動應用程式層 DDoS 緩解措施。如需 AWS WAF 運作方式的詳細資訊,請參閱 [AWS WAF](waf-chapter.md)。如需自動緩解功能的資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
**重要**
如果您 AWS Firewall Manager 使用 Shield Advanced 政策來管理 Shield Advanced 保護,則無法在此處管理應用程式層保護。對於所有其他資源,我們建議您至少將 Web ACL 連接到每個資源,即使 Web ACL 不包含任何規則。
**注意**
當您為資源啟用自動應用程式層 DDoS 緩解時, 操作會自動將服務連結角色新增至您的帳戶,為 Shield Advanced 提供管理 Web ACL 保護所需的許可。如需相關資訊,請參閱[使用 Shield Advanced 的服務連結角色](shd-using-service-linked-roles.md)。
**設定應用程式層 DDoS 保護**
1. 在**設定第 7 層 DDoS 保護**頁面中,如果資源尚未與 Web ACL 建立關聯,您可以選擇現有的 Web ACL 或自行建立。
若要建立 Web ACL,請執行下列步驟:
1. 選擇 **建立 Web ACL**。
1. 輸入名稱。建立 Web ACL 後無法修改名稱。
1. 選擇**建立**。
**注意**
如果資源已與 Web ACL 關聯,您無法變更為不同的 Web ACL。如果您想要變更 Web ACL,您必須先從資源移除關聯的 Web ACL。如需詳細資訊,請參閱[將保護與 AWS 資源建立關聯或取消關聯](web-acl-associating-aws-resource.md)。
1. 如果 Web ACL 未定義以速率為基礎的規則,您可以選擇**新增速率限制規則**,然後執行下列步驟來新增規則:
1. 輸入名稱。
1. 輸入速率限制。這是套用速率型規則動作到 IP 地址之前,在任何五分鐘期間內允許來自任何單一 IP 地址的請求數量上限。當來自 IP 地址的請求低於限制時,動作會停止。
1. 將規則動作設定為在請求計數超過限制時,計數或封鎖來自 IP 地址的請求。應用程式和移除規則動作可能會在 IP 地址請求率變更後一或兩分鐘生效。
1. 選擇**新增規則**。
1. 對於**自動應用程式層 DDoS 緩解**,選擇您是否希望 Shield Advanced 代表您自動緩解 DDoS 攻擊,如下所示:
+ 若要啟用自動緩解,請選擇**啟用**,然後選取您希望 Shield Advanced 在其自訂 AWS WAF 規則中使用的規則動作。您的選擇是 Count和 Block。如需這些 AWS WAF 規則動作的詳細資訊,請參閱 [在 中使用規則動作 AWS WAF](waf-rule-action.md)。如需 Shield Advanced 如何管理此動作設定的資訊,請參閱 [Shield Advanced 如何管理規則動作設定](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)。
+ 若要停用自動緩解,請選擇**停用**。
+ 若要為您管理的資源讓自動緩解設定保持不變,請保留預設選擇**保持目前的設定**。
如需有關 Shield Advanced 自動應用程式層 DDoS 緩解的資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
1. 選擇**下一步**。
# 為 Shield Advanced 保護的資源建立警示和通知
下列程序說明如何管理受保護資源的 CloudWatch 警示。
**注意**
CloudWatch 會產生額外費用。如需 CloudWatch 定價,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。
**建立警示和通知**
1. 在保護頁面**建立警示和通知 - *選用***,為您要接收的警示和通知設定 SNS 主題。對於您不想收到通知的資源,請選擇 **No topic (無主題)**。您可以新增 Amazon SNS 主題或建立新的主題。
1. 若要建立 Amazon SNS 主題,請遵循下列步驟:
1. 在下拉式清單中,選擇**建立 SNS 主題**。
1. 輸入主題名稱。
1. 選擇性地輸入 Amazon SNS 訊息將傳送到的電子郵件地址,然後選擇**新增電子郵件**。您可以輸入多個。
1. 選擇**建立**。
1. 選擇**下一步**。
# 從 AWS 資源移除 AWS Shield Advanced 保護
您可以隨時移除任何 AWS 資源的 AWS Shield Advanced 保護。
**重要**
刪除 AWS 資源不會從中移除資源 AWS Shield Advanced。您也必須移除資源的保護 AWS Shield Advanced,如此程序所述。
**從 AWS 資源移除 AWS Shield Advanced 保護**
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 的 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護**索引標籤中,選取您要移除其保護的資源。
1. 選擇**刪除保護**。
1. 如果您為保護設定了 Amazon CloudWatch 警示,您可以選擇刪除警示以及保護。如果您選擇此時不刪除警示,則可以稍後使用 CloudWatch 主控台將其刪除。
**注意**
對於已設定 Amazon Route 53 運作狀態檢查的保護,如果您稍後再次新增保護,則保護仍然包含運作狀態檢查。
上述步驟會移除特定 AWS 資源的 AWS Shield Advanced 保護。他們不會取消您的 AWS Shield Advanced 訂閱。您將繼續支付該服務的費用。如需 AWS Shield Advanced 訂閱的相關資訊,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。
## 從 Shield Advanced 保護中移除 CloudWatch 警示
若要從 Shield Advanced 保護中移除 CloudWatch 警示,請執行下列其中一項操作:
+ 刪除 [從 AWS 資源移除 AWS Shield Advanced 保護](#remove-protection) 所述的保護。請確實選取 **Also delete related DDoSDetection alarm (同時刪除相關 DDoSDetection 警示)** 旁的核取方塊。
+ 使用 CloudWatch 主控台刪除警示。要刪除的警示名稱以 **DDoSDetectedAlarmForProtection** 開頭。
# 將您的 AWS Shield Advanced 保護分組
使用保護群組來建立受保護資源的邏輯集合,並以群組的形式管理其保護。如需管理資源保護的資訊,請參閱 [編輯 AWS Shield Advanced 保護](manage-protection.md)。
**注意**
自動應用程式層 DDoS 緩解措施不會與保護群組互動。您可以為保護群組中的資源啟用自動緩解,但 Shield Advanced 不會根據保護群組調查結果自動套用攻擊緩解。Shield Advanced 會針對個別資源套用自動攻擊緩解措施。
AWS Shield Advanced 保護群組可讓您透過將多個受保護的資源視為單一單位,以自助方式自訂偵測和緩解的範圍。資源分組可以提供許多好處。
+ 改善偵測的準確性。
+ 減少無法操作的事件通知。
+ 增加緩解動作的涵蓋範圍,以包含也可能在事件期間受到影響的受保護資源。
+ 加速緩解具有多個類似目標的攻擊的時間。
+ 協助自動保護新建立的受保護資源。
保護群組有助於在藍/綠交換等情況下減少誤報,其中資源在接近零負載和完全載入之間切換。另一個範例是當您經常建立和刪除資源,同時維護在群組成員之間共用的負載層級時。對於這類情況,監控個別資源可能會導致誤報,同時監控資源群組的運作狀態則不會。
您可以設定保護群組,以包含所有受保護的資源、特定資源類型的所有資源,或個別指定的資源。符合您保護群組條件的新受保護資源會自動包含在保護群組中。受保護的資源可以屬於多個保護群組。
# 建立 Shield Advanced 保護群組
**建立保護群組**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 選擇**保護群組**索引標籤,然後選擇**建立保護群組**。
1. 在**建立保護群組**頁面中,為您的群組提供名稱。您將使用此名稱來識別受保護資源清單中的 群組。您無法在建立保護群組之後變更保護群組的名稱。
1. 針對**保護群組條件**,選取您希望 Shield Advanced 用來識別要包含在群組中受保護資源的條件。根據您選擇的條件進行其他選擇。
1. 針對**彙總**,選取您希望 Shield Advanced 如何合併群組的資源資料,以偵測、緩解和報告事件。
+ **總和** – 使用群組的總流量。對於大多數案例來說,這是不錯的選擇。範例包括手動或自動擴展的 Amazon EC2 執行個體彈性 IP 地址。
+ **平均值** – 使用整個群組的流量平均值。對於統一共用流量的資源來說,這是很好的選擇。範例包括加速器和負載平衡器。
+ **Max** – 使用來自每個資源的最高流量。這適用於不共用流量的資源,以及以不均勻的方式共用流量的資源。範例包括 Amazon CloudFront CloudFront 分佈和原始伺服器資源。
1. 選擇**儲存**以儲存您的保護群組,並返回**受保護的資源**頁面。
在 **Shield** **Events** 頁面中,您可以檢視保護群組的事件,並向下切入以查看群組中受保護資源的其他資訊。
# 更新 Shield Advanced 保護群組
**更新保護群組**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護群組**索引標籤中,選取您要修改的保護群組旁的核取方塊。
1. 在保護群組的頁面中,選擇**編輯**。對保護群組設定進行變更。
1. 選擇**儲存**,以儲存變更。
# 刪除 Shield Advanced 保護群組
**刪除保護群組**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**受保護的資源**。
1. 在**保護群組**索引標籤中,選取您要移除之保護群組旁的核取方塊。
1. 在保護群組的頁面中,選擇**刪除**並確認動作。
# 在 中追蹤 Shield Advanced 資源保護變更 AWS Config
此頁面說明如何使用 記錄資源 AWS Shield Advanced 保護的變更 AWS Config。然後,您可以使用這些資訊來維護組態變更歷史記錄,稽核和排除故障問題。
若要記錄保護變更, AWS Config 請針對您要追蹤的每個資源啟用 。如需詳細資訊,請參閱《AWS Config 開發人員指南》**中的[開始使用 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html)。
您必須 AWS Config 為每個包含追蹤資源 AWS 區域 的 啟用 。您可以 AWS Config 手動啟用 ,也可以使用 *CloudFormation 使用者指南*中 [CloudFormation StackSets 範本的範本](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) CloudFormation 「啟用 AWS Config」。
如果您啟用 AWS Config,則會按[AWS Config 定價](https://aws.amazon.com/config/pricing/)頁面中詳述的方式向您收費。
**注意**
如果您已為必要的區域和資源 AWS Config 啟用 ,則不需要執行任何操作。有關資源保護變更的 AWS Config 日誌會自動開始填入。
啟用後 AWS Config,使用 AWS Config 主控台中的美國東部 (維吉尼亞北部) 區域來檢視 AWS Shield Advanced 全域資源的組態變更歷史記錄。
透過美國東部 (維吉尼亞北部)、美國東部 (俄亥俄)、美國西部 (奧勒岡)、美國西部 (加利佛尼亞北部)、歐洲 (愛爾蘭)、歐洲 (法蘭克福)、亞太區域 (東京) 和亞太區域 (雪梨) 區域的 AWS Config 主控台檢視 AWS Shield Advanced 區域資源的變更歷史記錄。
# 使用 Shield Advanced 的 DDoS 事件可見性
AWS Shield 提供下列類別的事件和事件活動的可見性:
+ **全域** – 所有客戶都可以存取過去兩週內全域威脅活動的彙總檢視。您可以在 AWS Shield 主控台**的入門**和**全球威脅儀表板**頁面下查看此資訊。如需詳細資訊,請參閱[檢視 AWS Shield 全域和帳戶活動](ddos-standard-event-visibility.md)。
+ **帳戶** – 所有客戶都可以存取其帳戶前一年的事件摘要。您可以在 AWS Shield 主控台**的入門**頁面下查看此資訊。如需詳細資訊,請參閱[檢視 AWS Shield 全域和帳戶活動](ddos-standard-event-visibility.md)。
當您訂閱 Shield Advanced 並為您的資源新增保護時,您可以存取有關受保護資源的事件和 DDoS 攻擊的其他資訊:
+ **受保護資源上的事件** – Shield Advanced 透過 AWS Shield 主控台**的事件**頁面提供每個事件的詳細資訊。如需詳細資訊,請參閱[檢視 AWS Shield Advanced 事件](ddos-events.md)。
+ **受保護資源的事件指標** – Shield Advanced 會針對其保護的所有資源發佈偵測、緩解和最大貢獻者 Amazon CloudWatch 指標。您可以使用這些指標來設定 CloudWatch 儀表板和警示。如需詳細資訊,請參閱[AWS Shield Advanced 指標](shield-metrics.md)。
+ **受保護資源的跨帳戶事件可見**性 – 如果您使用 AWS Firewall Manager 來管理 Shield Advanced 保護,您可以使用 Firewall Manager 與 結合,跨多個帳戶啟用保護的可見性 AWS Security Hub CSPM。如需詳細資訊,請參閱[AWS 帳戶 使用 AWS Firewall Manager 和 檢視跨多個 的 Shield Advanced 事件 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)。
如果您為應用程式層保護啟用自動應用程式層 DDoS 緩解,Shield Advanced 會將規則群組新增至您的保護套件 (Web ACL),以用於管理自動化保護。此規則群組會產生 AWS WAF 指標,但無法檢視。這與您在保護套件 (Web ACL) 中使用的任何其他規則群組相同,但不擁有,例如 AWS 受管規則規則群組。如需 AWS WAF 指標的詳細資訊,請參閱 [AWS WAF 指標和維度](waf-metrics.md)。如需此 Shield Advanced 保護選項的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
**Topics**
+ [檢視 AWS Shield 全域和帳戶活動](ddos-standard-event-visibility.md)
+ [檢視 AWS Shield Advanced 事件](ddos-events.md)
+ [AWS 帳戶 使用 AWS Firewall Manager 和 檢視跨多個 的 Shield Advanced 事件 AWS Security Hub CSPM](ddos-viewing-multiple-accounts.md)
# 檢視 AWS Shield 全域和帳戶活動
此頁面提供在 AWS Shield 主控台**入門**和全球威脅**儀表板**頁面中存取全域威脅活動彙總檢視和每個帳戶事件摘要的說明。
下列螢幕擷取畫面顯示**範例入門**頁面。
![\[AWS Shield 主控台會顯示入門頁面,其中包含全域威脅和帳戶事件摘要窗格。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-global-account.png)
**存取 AWS Shield 主控台**
+ 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
您不需要訂閱 Shield Advanced 即可存取全域活動和帳戶事件摘要資訊。
**全球活動**
此資訊可透過 AWS Shield 主控台**全域威脅儀表板**和**入門**頁面取得。下列螢幕擷取畫面顯示全域活動窗格的範例。
![\[Shield 偵測到的標題為全域活動的 AWS Shield 主控台窗格,顯示過去兩週內偵測到全域威脅之區域的熱度圖標記疊加的世界地圖。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-global-activity.png)
全球活動描述所有 AWS 客戶觀察到的 DDoS 事件。每小時更新一次前兩週 AWS 的資訊。在主控台窗格中,您可以看到結果,依 AWS 區域分割並顯示在世界熱度圖上。在地圖旁,Shield 會顯示摘要資訊,例如最大封包攻擊、最大位元速率、最常見的向量、攻擊總數和威脅層級。威脅層級是與一般觀察相比 AWS ,目前全球活動的評估。預設威脅層級值為**「正常**」。 AWS 會自動將值更新為**「高**」以增加 DDoS 活動。
**全球威脅儀表板**也提供時間序列指標,並可讓您在時間持續時間之間進行變更。若要檢視重大 DDoS 攻擊的歷史記錄,您可以自訂儀表板以取得從最後一天到過去兩週的檢視。對於您選取的時段 AWS 內在 上執行 AWS Shield 的應用程式,時間序列指標提供 偵測到的所有事件的最大位元速率、封包速率或請求速率檢視。
**帳戶活動**
此資訊可在 AWS Shield 主控台**入門**頁面取得。
下列螢幕擷取畫面顯示帳戶活動窗格範例。
![\[Shield 偵測到的名為帳戶活動的 AWS Shield 主控台窗格會列出過去一年的事件摘要,其中包含事件總數、最大封包速率和請求速率等資訊。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-account-activity.png)
帳戶活動描述 Shield 偵測到的資源符合 Shield Advanced 保護資格的 DDoS 事件。Shield 每天都會建立前一天 UTC 00:00 結束年份的摘要指標,然後顯示總事件、最大位元速率、最大封包速率和最大請求速率。
+ 總事件指標會在每次 Shield 在目的地為應用程式之流量中觀察到可疑屬性時反映。可疑屬性可能包括高於正常磁碟區的流量、不符合應用程式歷史設定檔的流量,或不符合 Shield 為有效應用程式流量定義的啟發式的流量。
+ 每個資源都有可用的最大位元速率和最大封包速率統計資料。
+ 最大的請求率統計資料僅適用於具有相關聯 AWS WAF Web ACL 的 Amazon CloudFront 分佈和 Application Load Balancer。
**注意**
您也可以透過 AWS Shield API 操作 [DescribeAttackStatistics](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_DescribeAttack.html) 存取帳戶層級事件摘要。
# 檢視 AWS Shield Advanced 事件
此頁面提供存取 Shield Advanced 中事件相關資訊的說明。
當您訂閱 Shield Advanced 並保護您的資源時,您可以存取資源的其他可見性功能。這包括 Shield Advanced 偵測到的事件近乎即時的通知,以及偵測到的事件和緩解措施的其他資訊。
**注意**
Shield Advanced 主控台中的事件資訊是以 Shield Advanced 指標為基礎。如需 Shield Advanced 指標的詳細資訊,請參閱 [AWS Shield Advanced 指標](shield-metrics.md)
AWS Shield 會沿著多個維度評估您受保護資源的流量。偵測到異常時,Shield Advanced 會為每個受影響的資源建立個別的事件。
您可以透過 Shield 主控台的事件頁面存取**事件**摘要和詳細資訊。最上層**事件**頁面提供目前和過去事件的概觀。
下列螢幕擷取畫面顯示具有單一進行中**事件的範例**事件頁面。此作用中事件也會在左側導覽窗格中標記。
![\[AWS Shield 主控台左側導覽窗格具有以紅色反白顯示的事件選擇,旁邊有一個數字 1,在紅色圓圈內。事件頁面隨即開啟,並在事件清單中顯示單一資料列。資料列會列出 CloudFront 分佈類型的 AWS 資源。目前狀態欄位在緩解進行中的文字旁包含三角形紅色圖示。攻擊向量狀態欄位包含 UDP 流量。開始時間欄位包含 2020 年 9 月 16 日下午 2:43:00 SAST。持續時間欄位包含 6 分鐘。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-event-summary1.png)
Shield Advanced 也可能根據流量類型和您設定的保護,自動對攻擊進行緩解。這些緩解措施可以保護您的資源免於接收過多流量或符合已知 DDoS 攻擊簽章的流量。
下列螢幕擷取畫面顯示**事件**清單範例,其中所有事件都已由 Shield Advanced 緩解或自行消除。
![\[標題為事件的 AWS Shield 主控台頁面會列出最近偵測到的事件及其目前狀態。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-events.png)
**在事件之前保護您的資源**
在接收正常預期流量時,使用 Shield Advanced 保護資源,在受到 DDoS 攻擊之前,改善事件偵測的準確性。
為了準確報告受保護資源的事件,Shield Advanced 必須先為其建立預期流量模式的基準。
+ Shield Advanced 會在資源受到保護至少 15 分鐘後報告資源的基礎設施層事件。
+ Shield Advanced 會在資源受到保護至少 24 小時後報告資源的 Web 應用程式層事件。在 Shield Advanced 觀察到預期的流量 30 天後,偵測應用程式層事件的準確性最好。
**在 AWS Shield 主控台中存取事件資訊**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/) 開啟 AWS WAF & Shield 主控台。
1. 在 AWS Shield 導覽窗格中,選擇**事件**。主控台會顯示**事件**頁面。
1. 在**事件**頁面中,您可以選取清單中的任何事件,以查看事件的其他摘要資訊和詳細資訊。
**Topics**
+ [AWS Shield Advanced 事件摘要中的欄位清單](ddos-event-summaries.md)
+ [檢視 AWS Shield Advanced 事件詳細資訊](ddos-event-details.md)
# AWS Shield Advanced 事件摘要中的欄位清單
此頁面列出並定義 Shield Advanced 事件摘要中的欄位。
您可以在事件的主控台頁面中檢視事件的摘要和詳細資訊。若要開啟事件的頁面,請從**事件**頁面清單中選取其 AWS 資源名稱。
下列螢幕擷取畫面顯示網路層事件的範例事件摘要。
![\[AWS Shield 主控台事件頁面的摘要窗格會列出事件的資訊,並包含受影響的 AWS 資源、攻擊向量、開始和結束時間,以及緩解和狀態資訊。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-event-summary2.png)
事件頁面摘要資訊包括下列項目。
+ **目前狀態** – 指出事件狀態的值,以及 Shield Advanced 已對事件採取的動作。狀態值適用於基礎設施層 (第 3 層或第 4 層) 和應用程式層 (第 7 層) 事件。
+ **已識別 (持續)** 和**已識別 (消除)** – 這些表示 Shield Advanced 偵測到事件,但到目前為止沒有對其採取任何動作。**已識別 (消除)** 表示 Shield 偵測到的可疑流量已停止,無需介入。
+ **緩解進行中**和**緩解中** – 這些表示 Shield Advanced 偵測到事件並對其採取動作。當目標資源是 Amazon CloudFront 分佈或 Amazon Route 53 託管區域,具有自己的自動內嵌緩解措施時,也會使用**緩解**。
+ **攻擊向量** – TCP SYN 洪水和請求洪水等 Shield Advanced 偵測啟發式等 DDoS 攻擊向量。這些可能是 DDoS 攻擊的指標。
+ **開始時間** – 偵測到第一個異常流量資料點的日期和時間。
+ **持續時間或結束時間** – 指出事件開始時間與 Shield Advanced 觀察到的上次觀察到的異常資料點之間經過的時間。當事件持續進行時,這些值會繼續增加。
+ **保護** – 命名與資源相關聯的 Shield Advanced 保護,並提供其保護頁面的連結。這可在個別事件的頁面中使用。
+ **自動應用程式層 DDoS 緩解** – 用於保護應用程式層,以指出是否針對資源啟用 Shield Advanced 自動應用程式層 DDoS 緩解。如果已啟用,這會提供存取和管理組態的連結。這可在個別事件的頁面中使用。
+ **網路層自動緩解** – 指出資源是否在網路層具有自動緩解。如果資源具有網路層元件,則會啟用此功能。此資訊可在個別事件的頁面取得。
對於經常成為目標的資源,Shield 可能會在減少過多流量之後保留緩解措施,以防止進一步的重複事件。
**注意**
您也可以透過 AWS Shield API 操作 [ListAttacks](https://docs.aws.amazon.com/waf/latest/DDOSAPIReference/API_ListAttacks.html) 存取受保護資源的事件摘要。
# 檢視 AWS Shield Advanced 事件詳細資訊
您可以在 主控台頁面底部查看事件偵測、緩解和最大貢獻者的詳細資訊。本節可以包含合法和可能不需要的流量的混合,並可能代表傳送到受保護資源的流量,以及 Shield 緩解措施封鎖的流量。
+ **偵測和緩解** – 提供有關觀察到的事件和對其套用的任何緩解的資訊。如需事件緩解的資訊,請參閱 [在 中回應 DDoS 事件 AWS](ddos-responding.md)。
+ **主要參與者** – 將事件中涉及的流量分類,並列出 Shield 已為每個類別識別的主要流量來源。對於應用程式層事件,請使用主要參與者資訊來取得事件性質的一般概念,但請使用 AWS WAF 日誌進行安全決策。如需詳細資訊,請參閱以下各節。
Shield Advanced 主控台中的事件資訊是以 Shield Advanced 指標為基礎。如需 Shield Advanced 指標的詳細資訊,請參閱 [AWS Shield Advanced 指標](shield-metrics.md)
Amazon CloudFront 或 Amazon Route 53 資源不包含緩解指標,因為這些服務受到一律啟用且不需要個別資源緩解的緩解系統所保護。
詳細資訊區段會根據資訊是用於基礎設施層或應用程式層事件而有所不同。
**Topics**
+ [在 Shield Advanced 中檢視應用程式層 (第 7 層) 事件詳細資訊](ddos-event-details-application-layer.md)
+ [在 Shield Advanced 中檢視基礎設施層 (第 3 層或第 4 層) 事件詳細資訊](ddos-event-details-infrastructure-layer.md)
# 在 Shield Advanced 中檢視應用程式層 (第 7 層) 事件詳細資訊
您可以在 主控台頁面底部查看應用程式層事件偵測、緩解和最大貢獻者的詳細資訊。本節可以包含合法和可能不需要的流量的混合,並可能代表傳送到受保護資源的流量,以及 Shield Advanced 緩解措施封鎖的流量。
緩解詳細資訊適用於 Web ACL 中與資源相關聯的任何規則,包括專門為了回應攻擊而部署的規則,以及 Web ACL 中定義的以速率為基礎的規則。如果您為應用程式啟用自動應用程式層 DDoS 緩解,緩解指標會包含這些額外規則的指標。如需這些應用程式層保護的相關資訊,請參閱 [使用 AWS Shield Advanced 和 保護應用程式層 (第 7 層) AWS WAF](ddos-app-layer-protections.md)。
## 偵測和緩解
對於應用程式層 (第 7 層) 事件,**偵測和緩解**索引標籤會顯示以從 AWS WAF 日誌取得的資訊為基礎的偵測指標。緩解指標是根據相關聯 Web ACL 中的 AWS WAF 規則,這些規則設定為封鎖不需要的流量。
對於 Amazon CloudFront 分佈,您可以設定 Shield Advanced 為您套用自動緩解措施。透過任何應用程式層資源,您可以選擇在 Web ACL 中定義自己的緩解規則,也可以向 Shield 回應團隊 (SRT) 請求協助。如需這些選項的資訊,請參閱 [在 中回應 DDoS 事件 AWS](ddos-responding.md)。
下列螢幕擷取畫面顯示應用程式層事件的偵測指標範例,該事件會在數小時後消失。
![\[偵測指標圖表顯示從 11:30 到 16:00 下降的請求洪水流量偵測。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-app-detection-metrics.png)
緩解規則生效之前 下的事件流量不會在緩解指標中表示。這可能會導致偵測圖表中顯示的 Web 請求流量與緩解圖表中顯示的允許和封鎖指標之間的差異。
## 主要貢獻因子
應用程式層事件的前 5 個**貢獻**者索引標籤會根據 Shield 擷取的 AWS WAF 日誌,顯示 Shield 為事件識別的前 5 個貢獻者。Shield 依來源 IP、來源國家/地區和目的地 URL 等維度來分類主要參與者資訊。
**注意**
如需導致應用程式層事件之流量的最準確資訊,請使用 AWS WAF 日誌。
僅使用 Shield 應用程式層主要參與者資訊來取得攻擊本質的一般概念,而不是根據其做出安全決策。對於應用程式層事件, AWS WAF 日誌是了解攻擊參與者和制定緩解策略的最佳資訊來源。
Shield 主要參與者資訊不一定完全反映 AWS WAF 日誌中的資料。擷取日誌時,Shield 會優先減少對系統效能的影響,而不是從日誌擷取完整的資料集。這可能會導致 Shield 可用於分析的資料中遺失精細程度。在大多數情況下,大多數資訊都是可用的,但主要貢獻者資料可能會因為任何攻擊而偏向某種程度。
下列螢幕擷取畫面顯示應用程式層事件**的最佳參與者**標籤範例。
![\[應用程式層事件的前 5 個貢獻者索引標籤說明了多個 Web 請求特性的前 5 個貢獻者。畫面顯示前 5 個來源 IP 地址、前 5 URLs、前 5 個來源國家/地區,以及前 5 個使用者代理程式。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-app-event-top-contributors.png)
貢獻者資訊是根據對合法和可能不需要的流量的請求。較大的磁碟區事件和請求來源未高度分佈的事件,更有可能具有可識別的主要參與者。顯著分佈的攻擊可能具有任意數量的來源,因此很難識別攻擊的主要原因。如果 Shield Advanced 無法識別特定類別的重要參與者,則會將資料顯示為無法使用。
# 在 Shield Advanced 中檢視基礎設施層 (第 3 層或第 4 層) 事件詳細資訊
您可以在 主控台頁面底部查看有關基礎設施層事件偵測、緩解和最大貢獻者的詳細資訊。本節可以包含合法和可能不需要的流量的混合,並可能代表傳送到受保護資源的流量,以及 Shield 緩解措施封鎖的流量。
## 偵測和緩解
對於基礎設施層 (第 3 層或第 4 層) 事件,**偵測和緩解**索引標籤會顯示以取樣網路流程為基礎的偵測指標,以及以緩解系統觀察到的流量為基礎的緩解指標。緩解指標是更精確地測量傳入資源的流量。
Shield 會自動為受保護的資源類型 Elastic IP (EIP)、Classic Load Balancer (CLB)、Application Load Balancer (ALB) 和 AWS Global Accelerator 標準加速器建立緩解措施。EIP 地址和 AWS Global Accelerator 標準加速器的緩解指標指出傳遞和捨棄的封包數量。
下列螢幕擷取畫面顯示基礎設施層事件的範例**偵測和緩解**索引標籤。
![\[網路事件的偵測和緩解圖表顯示偵測指標中 SYN 洪水和封包洪水流量增加,與緩解指標中幾秒鐘後捨棄流量的緩解增加相符。在大約三十秒的緩解措施增加之後,流量洪水會停止。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-network-event-detection-mitigation.png)
在 Shield 放置緩解之前隱藏的事件流量不會在緩解指標中表示。這可能會導致偵測圖表中顯示的流量與緩解圖表中顯示的傳遞和捨棄指標之間的差異。
## 主要貢獻因子
基礎設施層事件的前**貢獻者**索引標籤列出多個流量維度上最多 100 名前貢獻者的指標。詳細資訊包含任何維度的網路層屬性,其中至少可以識別五個重要的流量來源。流量來源的範例包括來源 IP 和來源 ASN。
下列螢幕擷取畫面顯示基礎設施層事件的**熱門參與者**索引標籤範例。
![\[網路事件的主要參與者索引標籤會顯示對事件貢獻最多的流量類別。在此情況下,類別包括依通訊協定區分的磁碟區、依通訊協定和目的地連接埠區分的磁碟區、依通訊協定和來源 ASN 區分的磁碟區,以及依 TCP 旗標區分的磁碟區。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-network-event-top-contributors.png)
貢獻者指標是根據合法和潛在不需要流量的取樣網路流程。較大的磁碟區事件和流量來源未高度分佈的事件,更有可能具有可識別的主要參與者。顯著分佈的攻擊可能具有任意數量的來源,因此很難識別攻擊的主要原因。如果 Shield 未識別特定指標或類別的任何重要參與者,則會將資料顯示為無法使用。
在基礎設施層 DDoS 攻擊中,流量來源可能會被欺騙或反映。詐騙來源由攻擊者刻意偽造。反射來源是偵測到流量的真實來源,但不是攻擊的願意參與者。例如,攻擊者可能會透過反映對網際網路上通常合法的服務的攻擊,產生大量、擴增的流量到目標。在這種情況下,來源資訊在不是攻擊的實際來源時可能有效。這些因素可能會限制根據封包標頭封鎖來源的緩解技術可行性。
# AWS 帳戶 使用 AWS Firewall Manager 和 檢視跨多個 的 Shield Advanced 事件 AWS Security Hub CSPM
您可以使用 AWS Firewall Manager 和 AWS Security Hub CSPM 來管理和監控多個帳戶的 AWS Shield Advanced 受保護資源。
使用 Firewall Manager,您可以建立 Shield Advanced 安全政策,報告和強制執行所有帳戶的 DDoS 保護合規性。Firewall Manager 會監控您的受保護資源,包括為 Shield Advanced 政策範圍內的新資源新增保護。
當 Firewall Manager 識別不符合 Shield Advanced 安全政策的資源時,您可以將 Firewall Manager 與 整合 AWS Security Hub CSPM ,以取得單一儀表板來報告 Shield Advanced 和 Firewall Manager 合規調查結果偵測到的 DDoS 事件。
下圖說明使用 Firewall Manager 和 Security Hub CSPM 監控 Shield Advanced 受保護資源的典型架構。
![\[圖頂端有一個 AWS Organizations 圖示。它有一個向下的箭頭,可分割以指向兩個並排的圖示。左側圖示的標題為 Production OU ,右側圖示的標題為 Security OU。這些圖示下方有三個圖示,從左到右標題為: AWS Shield Advanced AWS Firewall Manager、 和 AWS Security Hub CSPM。生產 OU 圖示有一個向下指向 Shield Advanced 圖示的箭頭。安全性 OU 圖示有一個向下箭頭,可分割以指向 Firewall Manager 和 Security Hub CSPM 圖示。Shield Advanced 圖示有一個箭頭,指向標題為 的矩形Shield Advanced protected resources。矩形內部是 Application Load Balancer、CloudFront 分佈和彈性 IP 地址的圖示。Firewall Manager 圖示也有向下指向Shield Advanced protected resources矩形的箭頭,並標記為 Enforces compliance of protected resources。Shield Advanced 圖示有一個水平箭頭,指向標記為 的 Firewall Manager 圖示DDoS alarm。Firewall Manager 圖示有一個水平箭頭,指向標記為 的 Security Hub CSPM 圖示DDoS alarm and compliance findings。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-arch-fms-ash-integration.png)
當您將 Firewall Manager 與 Security Hub CSPM 整合時,您可以在單一位置檢視安全調查結果,以及您所執行應用程式的其他提醒和合規狀態資訊 AWS。
下列螢幕擷取畫面反白顯示當您整合此類型時,您可以在 Security Hub CSPM 主控台中查看的 Shield Advanced 事件資訊。
![\[螢幕擷取畫面顯示 Security Hub CSPM 主控台調查結果頁面,字幕 A 調查結果是安全問題或安全檢查失敗。本節有紅色大綱,反白顯示字串:標題 EQUALS Shield Advanced 偵測到對受監控資源的攻擊,以及產品名稱 EQUAL Firewall Manager。畫面會顯示一組有關特定攻擊及其狀態的詳細資訊。\]](http://docs.aws.amazon.com/zh_tw/waf/latest/developerguide/images/shield-console-security-hub-event.png)
若要了解如何將 Firewall Manager 和 Security Hub CSPM 與 Shield Advanced 整合,以集中所有受保護帳戶的事件和合規監控,請參閱 AWS 安全部落格[設定 DDoS 事件的集中監控和自動修復不合規資源](https://aws.amazon.com/blogs/security/set-up-centralized-monitoring-for-ddos-events-and-auto-remediate-noncompliant-resources/)。
# 在 中回應 DDoS 事件 AWS
此頁面說明 如何 AWS 回應 DDoS 攻擊,並提供如何進一步回應的選項。
AWS 會自動緩解網路和傳輸層 (第 3 層和第 4 層) DDoS 攻擊。如果您使用 Shield Advanced 來保護 Amazon EC2 執行個體,在攻擊期間,Shield Advanced 會自動將您的 Amazon VPC 網路 ACLs 部署到網路邊界 AWS 。這可讓 Shield Advanced 提供對較大 DDoS 事件的保護。如需網路 ACL 的詳細資訊,請參閱 [網路 ACL](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html)。
對於應用程式層 (第 7 層) DDoS 攻擊, 會 AWS 嘗試透過 CloudWatch 警示偵測和通知 AWS Shield Advanced 客戶。根據預設,它不會自動套用緩解措施,以避免不小心封鎖有效的使用者流量。
對於應用程式層 (第 7 層) 資源,您有下列選項可用於回應攻擊。
+ **提供您自己的緩解措施** – 您可以自行調查和緩解攻擊。如需相關資訊,請參閱[手動緩解應用程式層 DDoS 攻擊](ddos-responding-manual.md)。
+ **聯絡支援** – 如果您是 Shield Advanced 客戶,您可以聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)以取得緩解措施的協助。重大和緊急案例會直接路由發送給 DDoS 專家。如需相關資訊,請參閱[在應用程式層 DDoS 攻擊期間聯絡支援中心](ddos-responding-contact-support.md)。
此外,在攻擊發生之前,您可以主動啟用下列緩解選項:
+ **Amazon CloudFront 分佈上的自動緩解** — 透過此選項,Shield Advanced 會在 Web ACL 中為您定義和管理緩解規則。如需自動應用程式層緩解的資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
+ **主動參與** – 當 AWS Shield Advanced 偵測到您的其中一個應用程式遭受大型應用程式層攻擊時,SRT 可以主動與您聯絡。SRT 會分類 DDoS 事件並建立 AWS WAF 緩解措施。SRT 會與您聯絡,並在您同意的情況下套用 AWS WAF 規則。如需有關此選項的詳細資訊,請參閱 [設定主動參與,讓 SRT 直接與您聯絡](ddos-srt-proactive-engagement.md)。
# 在應用程式層 DDoS 攻擊期間聯絡支援中心
此頁面提供在應用程式層 DDoS 攻擊期間聯絡支援中心的指示。
如果您是 AWS Shield Advanced 客戶,您可以聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)以取得緩解措施的協助。重大和緊急案例會直接路由發送給 DDoS 專家。透過 AWS Shield Advanced,複雜案例可以呈報至 AWS Shield 回應團隊 (SRT),該團隊在保護 AWS Amazon.com 及其附屬公司方面擁有豐富的經驗。如需 SRT 的詳細資訊,請參閱 [具有 Shield Response Team (SRT) 支援的受管 DDoS 事件回應](ddos-srt-support.md)。
若要取得 Shield Response Team (SRT) 支援,請聯絡 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)。您案例的回應時間取決於您選取的嚴重性和回應時間,這些時間會記錄在 [AWS 支援 Plans](https://aws.amazon.com/premiumsupport/compare-plans/) 頁面上。
選取下列選項:
+ 案例類型:技術支援
+ 服務:分散式阻斷服務 (DDoS)
+ 類別:傳入至 AWS
+ 嚴重等級:*選擇適當選項*
與我們的代表討論時,說明您是可能遭受 DDoS 攻擊 AWS Shield Advanced 的客戶。我們的代表會引導您呼叫適當的 DDoS 專家。如果您使用**分散式阻斷服務 (DDoS)** 服務類型向 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)開啟案例,您可以透過聊天或電話直接與 DDoS 專家交談。DDoS 支援工程師可協助您識別攻擊、建議改善 AWS 架構,並提供使用 AWS 服務進行 DDoS 攻擊緩解的指引。
對於應用程式層攻擊,SRT 可協助您分析可疑活動。如果您已啟用資源的自動緩解措施,SRT 可以檢閱 Shield Advanced 自動針對攻擊採取的緩解措施。在任何情況下,SRT 都可以協助您檢閱和緩解問題。SRT 建議的緩解措施通常需要 SRT 在您的帳戶中建立或更新 AWS WAF Web 存取控制清單 (Web ACLs)。SRT 將需要您的許可才能執行此工作。
**重要**
我們建議您按照中的步驟啟用 AWS Shield Advanced,[授予 SRT 的存取權](ddos-srt-access.md)主動提供 SRT 在攻擊期間協助您所需的許可。提前提供許可有助於防止在發生實際攻擊時所造成的事件延遲。
SRT 可協助您分類 DDoS 攻擊,以識別攻擊簽章和模式。在您的同意下,SRT 會建立和部署 AWS WAF 規則以緩解攻擊。
您也可以在可能的攻擊之前或期間聯絡 SRT,以檢閱緩解措施,以及開發和部署自訂緩解措施。例如,如果您正在執行 Web 應用程式,且只需要開啟連接埠 80 和 443,則可以使用 SRT 將 Web ACL 預先設定為「僅允許」連接埠 80 和 443。
您在帳戶層級授權並聯絡 SRT。也就是說,如果您在 Firewall Manager Shield Advanced 政策中使用 Shield Advanced,帳戶擁有者而非 Firewall Manager 管理員必須聯絡 SRT 以取得支援。Firewall Manager 管理員只能針對他們擁有的帳戶聯絡 SRT。
# 手動緩解應用程式層 DDoS 攻擊
此頁面提供手動緩解應用程式層 DDoS 攻擊的指示。
如果您判斷資源的事件頁面中的活動代表 DDoS 攻擊,您可以在 Web ACL 中建立自己的 AWS WAF 規則來緩解攻擊。如果您不是 Shield Advanced 客戶,這是唯一可用的選項。 AWS WAF 包含在 中 AWS Shield Advanced ,無需額外費用。如需有關在 Web ACL 中建立規則的資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。
如果您使用 AWS Firewall Manager,您可以將 AWS WAF 規則新增至 Firewall Manager AWS WAF 政策。
**手動緩解潛在的應用程式層 DDoS 攻擊**
1. 在 Web ACL 中建立符合異常行為條件的規則陳述式。若要從 開始,請將它們設定為計數相符的請求。如需有關設定 Web ACL 和規則陳述式的資訊,請參閱 [在 中使用保護套件 (Web ACLs) 搭配規則和規則群組 AWS WAF](web-acl-processing.md)和 [測試和調校您的 AWS WAF 保護](web-acl-testing.md)。
**注意**
一開始一律使用規則動作Count而非 來測試您的規則Block。當您確定新規則識別正確的請求後,您可以修改它們以封鎖請求。
1. 監控請求計數,以判斷您是否要封鎖相符的請求。如果請求量持續異常高,而且您確信您的規則正在擷取造成大量請求,請變更 Web ACL 中的規則以封鎖請求。
1. 繼續監控事件頁面,以確保以您想要的方式處理流量。
AWS 提供預先設定的範本,讓您快速開始使用。範本包含一組 AWS WAF 規則,您可以自訂和用來封鎖常見的 Web 型攻擊。如需詳細資訊,請參閱 [AWS WAF 安全自動化](https://aws.amazon.com/solutions/aws-waf-security-automations/)。
# 攻擊 AWS Shield Advanced 後在 中請求點數
如果您訂閱 AWS Shield Advanced 且遇到 DDoS 攻擊,增加 Shield Advanced 受保護資源的使用率,您可以在 Shield Advanced 未緩解使用率的情況下,請求與增加使用率相關的費用的 Shield Advanced 服務額度。
**注意**
您只能將透過此程序收到的任何點數套用至 Shield Advanced 用量。Shield Advanced 點數不可與其他 服務搭配使用。
點數僅適用於以下類型的費用:
+ Shield Advanced 資料傳輸輸出
+ Amazon CloudFront HTTP/HTTPS 請求
+ CloudFront 資料傳輸輸出
+ Amazon Route 53 查詢
+ AWS Global Accelerator 標準加速器資料傳輸
+ Application Load Balancer 的Application Load Balancer容量單位
+ 由自動擴展政策建立以回應攻擊的受保護 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的執行個體成本
**申請點數的先決條件**
若要符合獲得點數的資格,您必須在攻擊開始之前完成下列動作:
+ 您必須已將 Shield Advanced 保護新增至您要請求點數的資源。在攻擊期間新增的受保護資源不符合成本保護的資格。
**注意**
在 上啟用 Shield Advanced AWS 帳戶 不會自動為個別資源啟用 Shield Advanced 保護。
如需如何使用 Shield Advanced 保護 AWS 資源的詳細資訊,請參閱[為 AWS 資源新增 AWS Shield Advanced 保護](configure-new-protection.md)。
+ 對於適用的 CloudFront 和 Application Load Balancer 保護的資源,您必須與 AWS WAF Web ACL 建立關聯,並在 Block 模式中在 Web ACL 中實作以速率為基礎的規則。如需速率型規則的相關資訊 AWS WAF ,請參閱 [在 中使用以速率為基礎的規則陳述式 AWS WAF](waf-rule-statement-type-rate-based.md)。如需如何將 Web ACLs 與 AWS 資源建立關聯的詳細資訊,請參閱 [在 中設定保護 AWS WAF](web-acl.md)。
+ 您必須在 [AWS DDoS 彈性的最佳實務](https://docs.aws.amazon.com/whitepapers/latest/aws-best-practices-ddos-resiliency)中實作適當的最佳實務,以盡可能降低 DDoS 攻擊期間的成本來設定應用程式。
**如何申請點數**
若要符合抵用金的資格,您必須在發生攻擊的計費月份之後的 15 天內提交抵用金請求。
若要申請點數,請透過 [AWS 支援 中心](https://console.aws.amazon.com/support/home#/)提交帳單案例。在您的請求中包含下列項目:
+ 主旨行中的「DDoS 優惠」
+ 您請求點數的每個事件或可用性中斷的日期和時間
+ 受影響的 AWS 服務和特定資源
提交請求後,Shield 回應團隊 AWS (SRT) 會驗證 DDoS 攻擊是否發生,如果發生,則會驗證是否有任何受保護的資源擴展以吸收 DDoS 攻擊。如果 AWS 確定受保護的資源擴展以吸收 DDoS 攻擊,則 AWS 將為 AWS 判定為 DDoS 攻擊導致的該部分流量發出點數。積分有效期限為 12 個月。
# 您使用 AWS Shield 服務時的安全性
本節說明如何套用共同責任模型 AWS Shield。
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,該架構專為符合最安全敏感組織的需求而建置。
**注意**
本節提供使用 AWS Shield 服務及其 AWS 資源的標準 AWS 安全指導,例如 Shield Advanced 保護。
如需有關使用 Shield 和 Shield Advanced 保護您的 AWS 資源的資訊,請參閱 AWS Shield 本指南的其餘部分。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)的一部分。若要了解適用於 Shield 的合規計劃,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。
本文件可協助您了解如何在使用 Shield 時套用共同責任模型。下列主題說明如何設定 Shield 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Shield 資源。
**Topics**
+ [在 Shield 中保護您的資料](shd-data-protection.md)
+ [搭配 使用 IAM AWS Shield](shd-security-iam.md)
+ [在 Shield 中記錄和監控](shd-incident-response.md)
+ [在 Shield 中驗證合規](shd-security-compliance.md)
+ [在 Shield 中建置彈性](shd-disaster-recovery-resiliency.md)
+ [中的基礎設施安全 AWS Shield](shd-infrastructure-security.md)
# 在 Shield 中保護您的資料
本節說明 AWS 共同責任模型如何套用至 Shield 中的資料保護。
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 中的資料保護 AWS Shield。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Shield 或使用主控台、API AWS CLI或其他 AWS 服務 AWS SDKs 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
Shield 實體 - 例如 保護 - 靜態加密,但某些無法使用加密的區域除外,包括中國 (北京) 和中國 (寧夏)。每個區域都會採用唯一的加密金鑰。
# 搭配 使用 IAM AWS Shield
本節說明如何搭配 使用 IAM AWS Shield。
AWS Identity and Access Management (IAM) 是一種 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 Shield 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [目標對象](#security_iam_audience)
+ [使用身分驗證](#security_iam_authentication)
+ [使用政策管理存取權](#security_iam_access-manage)
+ [AWS Shield 如何使用 IAM](shd-security_iam_service-with-iam.md)
+ [的身分型政策範例 AWS Shield](shd-security_iam_id-based-policy-examples.md)
+ [AWS 的 受管政策 AWS Shield](shd-security-iam-awsmanpol.md)
+ [對 AWS Shield 身分和存取進行故障診斷](shd-security_iam_troubleshoot.md)
+ [使用 Shield Advanced 的服務連結角色](shd-using-service-linked-roles.md)
## 目標對象
使用方式 AWS Identity and Access Management (IAM) 會有所不同,取決於您在 Shield 中執行的工作。
**服務使用者** – 如果您使用 Shield 服務來執行任務,您的管理員會為您提供所需的登入資料和許可。當您使用更多 Shield 功能來執行工作時,您可能需要額外的許可。了解存取許可的管理方式可協助您向管理員請求正確的許可。如果您無法存取 Shield 中的功能,請參閱 [對 AWS Shield 身分和存取進行故障診斷](shd-security_iam_troubleshoot.md)。
**服務管理員** – 如果您在公司負責 Shield 資源,您可能擁有 Shield 的完整存取權。您的任務是判斷服務使用者應存取的 Shield 功能和資源。接著,您必須將請求提交給您的 IAM 管理員,來變更您服務使用者的許可。檢閱此頁面上的資訊,了解 IAM 的基本概念。若要進一步了解貴公司如何搭配 Shield 使用 IAM,請參閱 [AWS Shield 如何使用 IAM](shd-security_iam_service-with-iam.md)。
**IAM 管理員** – 如果您是 IAM 管理員,建議您了解如何撰寫政策以管理 Shield 存取權的詳細資訊。若要檢視您可以在 IAM 中使用的 Shield 身分型政策範例,請參閱 [的身分型政策範例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## 使用身分驗證
身分驗證是您 AWS 使用身分憑證登入 的方式。您必須以 AWS 帳戶根使用者、IAM 使用者或擔任 IAM 角色身分進行身分驗證。
您可以使用身分來源的登入資料,例如 AWS IAM Identity Center (IAM Identity Center)、單一登入身分驗證或 Google/Facebook 登入資料,以聯合身分的形式登入。如需有關登入的詳細資訊,請參閱《AWS 登入 使用者指南》**中的[如何登入您的 AWS 帳戶](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
對於程式設計存取, AWS 提供 SDK 和 CLI 以密碼編譯方式簽署請求。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [API 請求的AWS 第 4 版簽署程序](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 帳戶 根使用者
當您建立 時 AWS 帳戶,您會從一個名為 AWS 帳戶 *theroot 使用者的*登入身分開始,該身分具有對所有 AWS 服務 和 資源的完整存取權。強烈建議不要使用根使用者來執行日常任務。有關需要根使用者憑證的任務,請參閱《IAM 使用者指南》**中的[需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 聯合身分
最佳實務是要求人類使用者使用聯合身分提供者,以 AWS 服務 使用臨時憑證存取 。
*聯合身分*是您企業目錄、Web 身分提供者的使用者,或使用來自身分來源的 AWS 服務 憑證存取 Directory Service 。聯合身分會擔任角色,而該角色會提供臨時憑證。
若需集中化管理存取權限,建議使用 AWS IAM Identity Center。如需詳細資訊,請參閱 *AWS IAM Identity Center 使用者指南*中的[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 使用者和群組
*IAM 使用者*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)是一種身分具備單人或應用程式的特定許可權。建議以臨時憑證取代具備長期憑證的 IAM 使用者。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[要求人類使用者使用聯合身分提供者來 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) 。
[IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)**會指定 IAM 使用者集合,使管理大量使用者的許可權更加輕鬆。如需詳細資訊,請參閱《IAM 使用者指南》**中的 [IAM 使用者的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*IAM 角色*[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)的身分具有特定許可權,其可以提供臨時憑證。您可以透過[從使用者切換到 IAM 角色 (主控台) ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或呼叫 AWS CLI 或 AWS API 操作來擔任角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的[擔任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色適用於聯合身分使用者存取、臨時 IAM 使用者許可、跨帳戶存取權與跨服務存取,以及在 Amazon EC2 執行的應用程式。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用政策管理存取權
您可以透過建立政策並將其連接到身分或資源 AWS 來控制 AWS 中的存取。政策定義與身分或資源相關聯的許可。當委託人提出請求時 AWS , 會評估這些政策。大多數政策會以 JSON 文件 AWS 形式存放在 中。如需進一步了解 JSON 政策文件,請參閱《*IAM 使用者指南*》中的 [JSON 政策概觀](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理員會使用政策,透過定義哪些**主體**可在哪些**條件**下對哪些**資源**執行**動作**,以指定可存取的範圍。
預設情況下,使用者和角色沒有許可。IAM 管理員會建立 IAM 政策並將其新增至角色,供使用者後續擔任。IAM 政策定義動作的許可,無論採用何種方式執行。
### 身分型政策
身分型政策是附加至身分 (使用者、使用者群組或角色) 的 JSON 許可政策文件。這類政策控制身分可對哪些資源執行哪些動作,以及適用的條件。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
身分型政策可分為*內嵌政策* (直接內嵌於單一身分) 與*受管政策* (可附加至多個身分的獨立政策)。如需了解如何在受管政策及內嵌政策之間做選擇,請參閱《IAM 使用者指南》**中的[在受管政策與內嵌政策之間選擇](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 資源型政策
資源型政策是附加到資源的 JSON 政策文件。範例包括 IAM *角色信任政策*與 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
資源型政策是位於該服務中的內嵌政策。您無法在資源型政策中使用來自 IAM 的 AWS 受管政策。
### 存取控制清單 (ACL)
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
Amazon S3 AWS WAF和 Amazon VPC 是支援 ACLs的服務範例。如需進一步了解 ACL,請參閱《Amazon Simple Storage Service 開發人員指南》**中的[存取控制清單 (ACL) 概觀](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html)。
### 其他政策類型
AWS 支援其他政策類型,可設定更多常見政策類型授予的最大許可:
+ **許可界限** — 設定身分型政策可授與 IAM 實體的最大許可。如需詳細資訊,請參閱《 IAM 使用者指南》**中的 [IAM 實體許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服務控制政策 (SCP)** — 為 AWS Organizations中的組織或組織單位指定最大許可。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **資源控制政策 (RCP)** — 設定您帳戶中資源可用許可的上限。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **工作階段政策** — 在以程式設計方式為角色或聯合身分使用者建立臨時工作階段時,以參數形式傳遞的進階政策。如需詳細資訊,請參《*IAM 使用者指南*》中的[工作階段政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多種政策類型
當多種類型的政策適用於請求時,產生的許可會更複雜而無法理解。若要了解如何 AWS 在涉及多種政策類型時決定是否允許請求,請參閱《*IAM 使用者指南*》中的[政策評估邏輯](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# AWS Shield 如何使用 IAM
本節說明如何搭配使用 IAM 的功能 AWS Shield。
在您使用 IAM 管理 Shield 的存取權之前,請先了解哪些 IAM 功能可與 Shield 搭配使用。
**您可以搭配 使用的 IAM 功能 AWS Shield**
| IAM 功能 | Shield 支援 |
| --- | --- |
| [身分型政策](#shd-security_iam_service-with-iam-id-based-policies) | 是 |
| [資源型政策](#shd-security_iam_service-with-iam-resource-based-policies) | 否 |
| [政策動作](#shd-security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#shd-security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [政策條件索引鍵 (服務特定)](#shd-security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACL](#shd-security_iam_service-with-iam-acls) | 否 |
| [ABAC(政策中的標籤)](#shd-security_iam_service-with-iam-tags) | 部分 |
| [臨時憑證](#shd-security_iam_service-with-iam-roles-tempcreds) | 是 |
| [轉送存取工作階段 (FAS)](#shd-security_iam_service-with-iam-principal-permissions) | 是 |
| [服務角色](#shd-security_iam_service-with-iam-roles-service) | 是 |
| [服務連結角色](#shd-security_iam_service-with-iam-roles-service-linked) | 是 |
若要全面了解 Shield 和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《IAM *使用者指南*》中的與 IAM [AWS 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## Shield 的身分型政策
本節提供 的身分型政策範例 AWS Shield。
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
若要檢視 Shield 身分型政策的範例,請參閱 [的身分型政策範例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 中的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包括帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## Shield 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看 Shield 動作的清單,請參閱《*服務授權參考*》中的 [定義的動作 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)。
Shield 中的政策動作在動作之前使用以下字首:
```
shield
```
如需在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"shield:action1",
"shield:action2"
]
```
您也可以使用萬用字元 (\$1) 來指定多個動作。例如,若要在 Shield 中指定以 開頭的所有動作`List`,請包含下列動作:
```
"Action": "shield:List*"
```
若要檢視 Shield 身分型政策的範例,請參閱 [的身分型政策範例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 的政策資源
**支援政策資源:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Resource` JSON 政策元素可指定要套用動作的物件。最佳實務是使用其 [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) 來指定資源。若動作不支援資源層級許可,使用萬用字元 (\$1) 表示該陳述式適用於所有資源。
```
"Resource": "*"
```
若要查看 Shield 資源類型及其 ARNs,請參閱*《服務授權參考*》中的 [定義的資源 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-resources-for-iam-policies)。若要了解您可以使用哪些動作指定每個資源的 ARN,請參閱 [AWS Shield定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)。若要允許或拒絕對 Shield 資源子集的存取,請在政策的 `resource`元素中包含資源的 ARN。
在 中 AWS Shield,資源是*保護*和*攻擊*。這些資源都有與其相關的唯一 Amazon Resource Name (ARN),如下表所示。
****
| AWS Shield 主控台中的名稱 | AWS Shield SDK/CLI 中的名稱 | ARN 格式 |
| --- | --- | --- |
| 事件或攻擊 | AttackDetail | `arn:aws:shield::account:attack/ID` |
| 保護 | Protection | `arn:aws:shield::account:protection/ID` |
若要允許或拒絕對 Shield 資源子集的存取,請在政策的 `resource`元素中包含資源的 ARN。Shield ARNs 格式如下:
```
arn:partition:shield::account:resource/ID
```
將*帳戶*、*資源*和 *ID* 變數取代為有效值。有效值如下:
+ *帳戶*: 的 ID AWS 帳戶。您必須指定一個數值。
+ *資源*:Shield 資源的類型,`attack`或 `protection`。
+ *ID*:Shield 資源的 ID,或萬用字元 (`*`),以指出與指定 相關聯之指定類型的所有資源 AWS 帳戶。
例如,以下 ARN 為帳戶 `111122223333` 指定所有的保護:
```
arn:aws:shield::111122223333:protection/*
```
Shield 資源ARNs 格式如下:
```
arn:partition:shield:region:account-id:scope/resource-type/resource-name/resource-id
```
如需 ARN 規格的一般資訊,請參閱 中的 [Amazon Resource Name (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) Amazon Web Services 一般參考。
下列列出 `wafv2` 資源 ARNs 特有的要求:
+ region**:針對您用來保護 Amazon CloudFront 分佈的 Shield 資源,將此設定為 `us-east-1`。否則,請將此設定為搭配受保護區域資源使用的 區域。
+ *範圍*:將範圍設定為 `global` 以搭配 Amazon CloudFront 分佈使用`regional`,或與 AWS WAF 支援的任何區域資源搭配使用。區域資源是 Amazon API Gateway REST API、Application Load Balancer、a AWS AppSync GraphQL API、Amazon Cognito 使用者集區、 AWS App Runner 服務和 AWS Verified Access 執行個體。
+ *resource-type*:指定下列其中一個值:`attack`用於事件或攻擊、`protection`用於保護。
+ *resource-name*:指定您提供 Shield 資源的名稱,或指定萬用字元 (`*`) 來表示符合 ARN 中其他規格的所有資源。您必須指定資源名稱和資源 ID,或同時指定萬用字元。
+ *resource-id*:指定 Shield 資源的 ID,或指定萬用字元 (`*`),以指出符合 ARN 中其他規格的所有資源。您必須指定資源名稱和資源 ID,或同時指定萬用字元。
例如,以下 ARN 為區域 `us-west-1` 中的帳戶 `111122223333` 指定所有的 Web ACL:
```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```
下列 ARN 指定名為 的規則群組`MyIPManagementRuleGroup`,具有區域 `111122223333`中帳戶的全域範圍`us-east-1`:
```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```
若要檢視 Shield 身分型政策的範例,請參閱 [的身分型政策範例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 的政策條件索引鍵
**支援服務特定政策條件金鑰:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
`Condition` 元素會根據定義的條件,指定陳述式的執行時機。您可以建立使用[條件運算子](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)的條件運算式 (例如等於或小於),來比對政策中的條件和請求中的值。若要查看所有 AWS 全域條件索引鍵,請參閱《*IAM 使用者指南*》中的[AWS 全域條件內容索引鍵](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
若要查看 Shield 條件索引鍵的清單,請參閱《*服務授權參考*》中的 [的條件索引鍵 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-policy-keys)。若要了解您可以使用條件索引鍵的動作和資源,請參閱 [定義的動作 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html#awsshield-actions-as-permissions)。
若要檢視 Shield 身分型政策的範例,請參閱 [的身分型政策範例 AWS Shield](shd-security_iam_id-based-policy-examples.md)。
## Shield 中的 ACLs
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 與 Shield
**支援 ABAC (政策中的標籤):**部分
屬性型存取控制 (ABAC) 是一種授權策略,根據稱為標籤的屬性定義許可權。您可以將標籤連接至 IAM 實體 AWS 和資源,然後設計 ABAC 政策,以便在委託人的標籤符合資源上的標籤時允許操作。
如需根據標籤控制存取,請使用 `aws:ResourceTag/key-name`、`aws:RequestTag/key-name` 或 `aws:TagKeys` 條件索引鍵,在政策的[條件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中,提供標籤資訊。
如果服務支援每個資源類型的全部三個條件金鑰,則對該服務而言,值為 **Yes**。如果服務僅支援某些資源類型的全部三個條件金鑰,則值為 **Partial**。
如需 ABAC 的詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 ABAC 授權定義許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。如要查看含有設定 ABAC 步驟的教學課程,請參閱《*IAM 使用者指南*》中的[使用屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 搭配 Shield 使用臨時登入資料
**支援臨時憑證:**是
臨時登入資料提供 AWS 資源的短期存取權,當您使用聯合或切換角色時,會自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 轉送 Shield 的存取工作階段
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## Shield 的服務角色
**支援服務角色:**是
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
變更服務角色的許可可能會中斷 Shield 功能。只有在 Shield 提供指引時,才能編輯服務角色。
## Shield 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理 Shield 服務連結角色的詳細資訊,請參閱 [使用 Shield Advanced 的服務連結角色](shd-using-service-linked-roles.md)。
# 的身分型政策範例 AWS Shield
根據預設,使用者和角色沒有建立或修改 Shield 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 Shield 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*《服務授權參考*》中的 [的動作、資源和條件索引鍵 AWS Shield](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsshield.html)。
**Topics**
+ [政策最佳實務](#shd-security_iam_service-with-iam-policy-best-practices)
+ [使用 Shield 主控台](#shd-security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#shd-security_iam_id-based-policy-examples-view-own-permissions)
+ [授予 Shield Advanced 保護的讀取存取權](#shd-example0)
+ [授予 Shield、CloudFront 和 CloudWatch 的唯讀存取權](#shd-example1)
+ [授予 Shield、CloudFront 和 CloudWatch 的完整存取權](#shd-example2)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 Shield 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 等使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 Shield 主控台
若要存取 AWS Shield 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 Shield 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
可以存取和使用 AWS 主控台的使用者也可以存取 AWS Shield 主控台。不需要額外許可。
### 僅限主控台APIs
您可以在 主控台中存取下列分散式阻斷服務 (DDoS) 攻擊資訊。在 IAM 政策中指定下列 API 許可,以允許或拒絕特定動作。
| Action | Description |
| --- | --- |
| DescribeAttackContributors | 准許取得特定 DDoS 攻擊參與者的詳細資訊。 |
| ListMitigations | 准許擷取 DDoS 攻擊期間套用的緩解動作清單。 |
| GetGlobalThreatData | 准許從 Shield AWS 的威脅監控系統擷取全域威脅情報資料和趨勢。 |
此範例示範如何建立可讓您在 主控台中查看 DDoS 攻擊資訊的政策。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"shield:DescribeAttackContributors"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"shield:ListMitigations"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"shield:GetGlobalThreatData"
],
"Resource": "*"
}
]
}
```
------
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 授予 Shield Advanced 保護的讀取存取權
AWS Shield 允許跨帳戶資源存取,但不允許您建立跨帳戶資源保護。您只能從擁有這些資源的帳戶內建立資源保護。
以下為一個範例政策,該政策授與對所有資源進行 `shield:ListProtections` 動作的許可。Shield 不支援針對某些 API 動作使用資源 ARNs (也稱為資源層級許可) 來識別特定資源,因此您可以指定萬用字元 (\$1)。這只允許存取您可以透過動作 擷取的資源`ListProtections`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProtections",
"Effect": "Allow",
"Action": [
"shield:ListProtections"
],
"Resource": "*"
}
]
}
```
------
## 授予 Shield、CloudFront 和 CloudWatch 的唯讀存取權
下列政策會授予使用者對 Shield 和相關資源的唯讀存取權,包括 Amazon CloudFront 資源和 Amazon CloudWatch 指標。對於需要檢視 Shield 保護和攻擊中的設定,以及在 CloudWatch 中監控指標的許可的使用者來說,此功能非常有用。這些使用者無法建立、更新或刪除 Shield 資源。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldReadOnly",
"Effect": "Allow",
"Action": [
"shield:List*",
"shield:Describe*",
"shield:Get*"
],
"Resource": "*"
}
]
}
```
------
## 授予 Shield、CloudFront 和 CloudWatch 的完整存取權
下列政策可讓使用者執行任何 Shield 操作、在 CloudFront Web 分佈上執行任何操作,以及在 CloudWatch 中監控指標和請求範例。這對身為 Shield 管理員的使用者很有用。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ProtectedResourcesReadAccess",
"Effect": "Allow",
"Action": [
"cloudfront:List*",
"route53:List*",
"cloudfront:Describe*",
"elasticloadbalancing:Describe*",
"cloudwatch:Describe*",
"cloudwatch:Get*",
"cloudwatch:List*",
"cloudfront:GetDistribution*",
"globalaccelerator:ListAccelerators",
"globalaccelerator:DescribeAccelerator"
],
"Resource": [
"arn:aws:elasticloadbalancing:*:*:*",
"arn:aws:cloudfront::*:*",
"arn:aws:route53:::hostedzone/*",
"arn:aws:cloudwatch:*:*:*:*",
"arn:aws:globalaccelerator::*:*"
]
},
{
"Sid": "ShieldFullAccess",
"Effect": "Allow",
"Action": [
"shield:*"
],
"Resource": "*"
}
]
}
```
------
我們強烈建議您為具有管理權限的使用者設定多重驗證 (MFA)。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[搭配 使用Multi-Factor Authentication (MFA) 裝置 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html)。
# AWS 的 受管政策 AWS Shield
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。 AWS 服務 當新的 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AWSShieldDRTAccessPolicy
本節說明如何使用 Shield 的 AWS 受管政策。
AWS Shield 當您授予 Shield 回應團隊 (SRT) 代表您執行動作的許可時, 會使用此受管政策。此政策可讓 SRT 有限地存取您的帳戶 AWS ,以協助在高嚴重性事件期間緩解 DDoS 攻擊。此政策允許 SRT 管理您的 AWS WAF 規則和 Shield Advanced 保護,以及存取您的 AWS WAF 日誌。
如需授予許可給 SRT 以代表您操作的資訊,請參閱 [授予 SRT 的存取權](ddos-srt-access.md)。
如需此政策的詳細資訊,請參閱 IAM 主控台中的 [AWSShieldDRTAccessPolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/service-role/AWSShieldDRTAccessPolicy)。
## AWS 受管政策:AWSShieldServiceRolePolicy
Shield Advanced 會在您啟用自動應用程式層 DDoS 緩解措施時使用此受管政策,以設定管理帳戶資源所需的許可。此政策允許 Shield Advanced 在您已與受保護資源相關聯的 Web ACLs 中建立和套用 AWS WAF 規則和規則群組,以自動回應 DDoS 攻擊。
您無法將 AWSShieldServiceRolePolicy 連接至 IAM 實體。Shield 將此政策連接到服務連結角色`AWSServiceRoleForAWSShield`,以允許 Shield 代表您執行動作。
當您啟用自動應用程式層 DDoS 緩解時,Shield Advanced 會啟用此政策。如需此政策使用 的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
如需使用此政策之服務連結角色 AWSServiceRoleForAWSShield 的相關資訊,請參閱 [使用 Shield Advanced 的服務連結角色](shd-using-service-linked-roles.md)
如需此政策的詳細資訊,請參閱 IAM 主控台中的 [AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy)。
## AWS 受管政策的 Shield 更新
檢視自此服務開始追蹤這些變更以來,Shield AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 Shield 文件歷史記錄頁面上的 RSS 摘要[文件歷史紀錄](doc-history.md)。
| 政策 | 變更描述 | Date |
| --- | --- | --- |
| `AWSShieldServiceRolePolicy` 此政策允許 Shield 存取和管理 AWS 資源,以代表您自動回應應用程式層 DDoS 攻擊。 IAM 主控台中的詳細資訊:[AWSShieldServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSShieldServiceRolePolicy) 服務連結角色`AWSServiceRoleForAWSShield`使用此政策。如需相關資訊,請參閱[使用 Shield Advanced 的服務連結角色](shd-using-service-linked-roles.md)。 | 新增此政策,為 Shield Advanced 提供自動應用程式層 DDoS 緩解功能所需的許可。如需此功能的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。 | 2021 年 12 月 1 日 |
| Shield 開始追蹤變更 | Shield 開始追蹤其 AWS 受管政策的變更。 | 2021 年 3 月 3 日 |
# 對 AWS Shield 身分和存取進行故障診斷
使用以下資訊來協助您診斷和修正使用 Shield 和 IAM 時可能遇到的常見問題。
**Topics**
+ [我無權在 Shield 中執行動作](#shd-security_iam_troubleshoot-no-permissions)
+ [我未獲得執行 iam:PassRole 的授權](#shd-security_iam_troubleshoot-passrole)
+ [我想要允許 以外的人員 AWS 帳戶 存取我的 Shield 資源](#shd-security_iam_troubleshoot-cross-account-access)
## 我無權在 Shield 中執行動作
如果您收到錯誤,告知您未獲授權執行動作,您的政策必須更新,允許您執行動作。
下列範例錯誤會在`mateojackson` IAM 使用者嘗試使用主控台檢視一個虛構 `my-example-widget` 資源的詳細資訊,但卻無虛構 `shield:GetWidget` 許可時發生。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: shield:GetWidget on resource: my-example-widget
```
在此情況下,必須更新 `mateojackson` 使用者的政策,允許使用 `shield:GetWidget` 動作存取 `my-example-widget` 資源。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我未獲得執行 iam:PassRole 的授權
如果您收到錯誤,告知您無權執行 `iam:PassRole`動作,您的政策必須更新,以允許您將角色傳遞給 Shield。
有些 AWS 服務 可讓您將現有角色傳遞給該服務,而不是建立新的服務角色或服務連結角色。如需執行此作業,您必須擁有將角色傳遞至該服務的許可。
當名為 的 IAM `marymajor` 使用者嘗試使用主控台在 Shield 中執行動作時,會發生下列範例錯誤。但是,動作請求服務具備服務角色授予的許可。Mary 沒有將角色傳遞給服務的許可。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在這種情況下,Mary 的政策必須更新,允許她執行 `iam:PassRole` 動作。
如果您需要協助,請聯絡您的 AWS 管理員。您的管理員提供您的簽署憑證。
## 我想要允許 以外的人員 AWS 帳戶 存取我的 Shield 資源
您可以建立一個角色,讓其他帳戶中的使用者或您組織外部的人員存取您的資源。您可以指定要允許哪些信任物件取得該角色。針對支援基於資源的政策或存取控制清單 (ACL) 的服務,您可以使用那些政策來授予人員存取您的資源的許可。
如需進一步了解,請參閱以下內容:
+ 若要了解 Shield 是否支援這些功能,請參閱 [AWS Shield 如何使用 IAM](shd-security_iam_service-with-iam.md)。
+ 若要了解如何 AWS 帳戶 在您擁有的 資源間提供存取權,請參閱《[IAM 使用者指南》中的在您擁有 AWS 帳戶 的另一個 IAM 使用者中提供存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)。 **
+ 若要了解如何將資源的存取權提供給第三方 AWS 帳戶,請參閱《*IAM 使用者指南*》中的[將存取權提供給第三方 AWS 帳戶 擁有](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)。
+ 如需了解如何透過聯合身分提供存取權,請參閱 *IAM 使用者指南*中的[將存取權提供給在外部進行身分驗證的使用者 (聯合身分)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 若要了解使用角色和資源型政策進行跨帳戶存取之間的差異,請參閱《IAM 使用者指南》**中的 [IAM 角色與資源型政策的差異](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)。
# 使用 Shield Advanced 的服務連結角色
本節說明如何使用服務連結角色,讓 Shield Advanced 存取您 AWS 帳戶中的資源。
AWS Shield Advanced use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Shield Advanced 的唯一 IAM 角色類型。服務連結角色由 Shield Advanced 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 Shield Advanced,因為您不必手動新增必要的許可。Shield Advanced 會定義其服務連結角色的許可,除非另有定義,否則只有 Shield Advanced 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 Shield Advanced 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Shield Advanced 的服務連結角色許可
Shield Advanced 使用名為 **AWSServiceRoleForAWSShield** 的服務連結角色。此角色允許 Shield Advanced 存取和管理 AWS 資源,以代表您自動回應應用程式層 DDoS 攻擊。如需此功能的詳細資訊,請參閱 [使用 Shield Advanced 自動化應用程式層 DDoS 緩解](ddos-automatic-app-layer-response.md)。
AWSServiceRoleForAWSShield 服務連結角色信任下列服務擔任該角色:
+ `shield.amazonaws.com`
名為 AWSShieldServiceRolePolicy 的角色許可政策允許 Shield Advanced 對所有 AWS 資源完成下列動作:
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`
當所有 AWS 資源上都允許動作時,政策中會顯示為 `"Resource": "*"`。這僅表示服務連結角色可以對動作支援的所有 AWS 資源採取每個指定的動作。 **例如, 動作僅`wafv2:GetWebACL`支援 `wafv2` Web ACL 資源。
Shield Advanced 只會針對您已啟用應用程式層保護功能的受保護資源,以及與這些受保護資源相關聯的 Web ACLs,進行資源層級 API 呼叫。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 Shield Advanced 建立服務連結角色
您不需要手動建立服務連結角色,當您為 AWS 管理主控台、 AWS CLI或 AWS API 中的資源啟用自動應用程式層 DDoS 緩解時,Shield Advanced 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您為資源啟用自動應用程式層 DDoS 緩解時,Shield Advanced 會再次為您建立服務連結角色。
## 編輯 Shield Advanced 的服務連結角色
Shield Advanced 不允許您編輯 AWSServiceRoleForAWSShield 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Shield Advanced 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果 Shield Advanced 在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForAWSShield 使用的 Shield Advanced 資源**
對於所有已設定應用程式層 DDoS 保護的資源,請停用自動應用程式層 DDoS 緩解措施。如需主控台指示,請參閱 [設定應用程式層 DDoS 保護](manage-protection.md#configure-app-layer-protection)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAWSShield 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Shield 進階服務連結角色支援的區域
Shield Advanced 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [Shield Advanced 端點和配額](https://docs.aws.amazon.com/general/latest/gr/shield.html)。
# 在 Shield 中記錄和監控
本節說明如何使用 AWS 工具來監控和回應 中的事件 AWS Shield。
監控是維護 Shield 和 AWS 解決方案可靠性、可用性和效能的重要部分。您應該從 AWS 解決方案的所有部分收集監控資料,以便在發生多點失敗時更輕鬆地偵錯。 AWS 提供數種工具來監控 Shield 資源並回應潛在事件:
**Amazon CloudWatch 警示**
您可以使用 CloudWatch 警示觀察單一指標一段指定的時間。如果指標超過指定的閾值,CloudWatch 會傳送通知至 Amazon SNS 主題或 AWS Auto Scaling 政策。如需詳細資訊,請參閱[使用 Amazon CloudWatch 監控](monitoring-cloudwatch.md)。
**AWS CloudTrail 日誌**
CloudTrail 提供 Shield AWS 中使用者、角色或服務所採取動作的記錄。使用 CloudTrail 所收集的資訊,您可以判斷向 Shield 提出的請求、提出請求的 IP 地址、提出請求的人員、提出請求的時間,以及其他詳細資訊。如需詳細資訊,請參閱[使用 AWS CloudTrail記錄 API 呼叫](logging-using-cloudtrail.md)。
# 在 Shield 中驗證合規
本節說明您在使用 時的合規責任 AWS Shield。
若要了解 AWS 服務 是否在特定合規計劃範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[下載報告 in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# 在 Shield 中建置彈性
本節說明 AWS 架構如何支援資料備援 AWS Shield。
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您所設計與操作的應用程式和資料庫,就能夠在可用區域之間自動容錯移轉,而不會發生中斷。可用區域的可用性、容錯能力和擴充能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基礎設施安全 AWS Shield
本節說明 如何 AWS Shield 隔離服務流量。
作為受管服務, AWS Shield 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務來設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 Shield。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
# AWS Shield Advanced 配額
AWS Shield Advanced 對每個區域的實體數量具有預設配額。您可以[請求提高](https://console.aws.amazon.com/servicequotas/home/services/shield/quotas)這些配額。
| 資源 | 預設配額 |
| --- | --- |
| 每個帳戶每個 AWS Shield Advanced 提供保護之資源類型的受保護資源數量上限。 | 1,000 |
| 每個帳戶的保護群組數目上限。 | 100 |
| 您可以特別包含在保護群組中的個別受保護資源數目上限。在 API 中,這適用於`Members`您在將保護群組設定為 時指定的 `Pattern` `ARBITRARY`。在 主控台中,這適用於您為保護群組選擇的資源 **從受保護的資源中選擇**。 | 1,000 |