在中管理资源保护 Amazon Shield Advanced - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
向资源添加保护配置保护从资源中删除保护
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在中管理资源保护 Amazon Shield Advanced

使用本节中的指南为您的资源管理 Shield Advanced 保护。

注意

Shield Advanced 仅保护你在 Shield Advanced 中或通过 Shi Amazon Firewall Manager eld Advanced 策略指定的资源。它不会自动保护您的资源。

如果您使用的是 Amazon Firewall Manager Shield Advanced 策略,则无需管理针对该政策范围内的资源的保护。Firewall Manager 会根据策略配置自动管理对策略范围内的账户和资源的保护。有关更多信息,请参阅 Amazon Shield Advanced 政策

为 Amazon 资源添加 Amazon Shield Advanced 保护

按照本节中的指导,为一个或多个资源添加 Shield Advanced 保护。

为 Amazon 资源添加保护

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在导航窗格中, Amazon Shield 选择受保护的资源

  3. 选择添加要保护的资源

  4. 选择要使用 Shield Advanced 保护的资源页面的指定区域和资源类型中,提供要保护的资源的区域和资源类型规格。您可以通过选择所有区域来保护多个区域中的资源,也可以通过选择全局将选择范围缩小到全局资源。您可以取消选择任何不想保护的资源类型。有关您的资源类型保护的信息,请参阅 Amazon Shield Advanced 按资源类型划分的保护

  5. 选择加载资源。Shield Advanced 会使用符合您条件的 Amazon 资源填充选择资源部分。

  6. 选择资源 部分,您可以通过在资源列表中输入要搜索的字符串来筛选资源列表。

    选择要保护的资源。

  7. 标签部分,如果要为正在创建的 Shield Advanced 保护添加标签,请指定这些标签。有关标记 Amazon 资源的信息,请参阅使用标签编辑器

  8. 选择使用 Shield Advanced 保护。这为资源增加了 Shield Advanced 保护。

配置 Amazon Shield Advanced 保护

您可以随时更改 Amazon Shield Advanced 保护设置。为此,您可以查看所选的保护选项,并修改需要更改的设置。

管理受保护资源

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在 Amazon Shield 导航窗格中,选择受保护的资源

  3. 保护选项卡中,选择要保护资源。

  4. 选择所需的配置保护和资源规格选项。

  5. 浏览每个资源保护选项,根据需要进行更改。

配置应用程序层 DDoS 保护

为了防范对 Amazon CloudFront 和 Application Load Balancer 资源的攻击,您可以添加 Amazon WAF 网页 ACL 并添加基于速率的规则。有关此问题的信息,请参阅 Shield 高级应用层 Amazon WAF Web ACL 和基于速率的规则

您还可以启用 Shield Advanced 应用程序层 DDoS 自动缓解配合使用。有关 Amazon WAF 工作原理的信息,请参阅Amazon WAF。有关自动缓解功能的信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解

重要

如果您通过 Amazon Firewall Manager 使用 Shield Advanced 策略来管理 Shield 高级保护,则无法在此处管理应用层保护。对于所有其他资源,我们建议至少为每个资源关联一个 Web ACL,即使该 Web ACL 不包含任何规则。

注意

当您为资源启用应用程序层 DDoS 自动缓解时,如果需要,该操作会自动向您的账户添加服务相关角色,从而为 Shield Advanced 提供管理 Web ACL 保护所需的权限。有关信息,请参阅 使用 Shield Advance 的服务相关角色

配置应用程序层 DDoS 保护

  1. 配置第 7 层 DDoS 保护页面中,如果资源尚未与 Web ACL 关联,则可以选择现有的 Web ACL 或创建自己的网络 ACL。

    要创建 Web ACL,请执行以下操作:

    1. 选择 创建 Web ACL

    2. 输入名称。Web ACL 在创建之后无法更改名称。

    3. 选择 创建

    注意

    如果资源已与一个 Web ACL关联,则不能更改为其他 Web ACL。如果要更改 Web ACL,您必须先从资源中删除关联的 Web ACL。有关更多信息,请参阅 将 Web ACL 与资源关联或取消关联 Amazon

  2. 如果 Web ACL 未定义基于速率的规则,则可以选择添加速率限制规则,然后执行以下步骤来添加规则:

    1. 输入名称。

    2. 输入速率限制。这是在对 IP 地址应用基于速率的规则操作之前,在任何 5 分钟内允许来自任何单个 IP 地址的最大请求数。当来自该 IP 地址的请求低于限制时,该操作将停止。

    3. 将规则操作设置为在 IP 地址的请求计数超过限制时对 IP 的请求进行计数或阻止。规则操作的应用和删除可能会在 IP 地址请求速率更改一两分钟后生效。

    4. 选择 添加规则

  3. 对于应用程序层 DDoS 攻击自动缓解,请选择是否希望 Shield Advanced 代表您自动缓解 DDoS 攻击,如下所示:

    • 要启用自动缓解,请选择 “用”,然后选择希望 Shield Advanced 在其自定义规则中使用的规则操作。 Amazon WAF 您的选择是 Count 和 Block。有关这些 Amazon WAF 规则操作的信息,请参阅规则操作。有关 Shield Advanced 如何管理此操作设置的信息,请参阅 Shield Advanced 如何管理规则操作设置

    • 要禁用自动缓解,请选择禁用

    • 要使您管理的资源的自动缓解设置保持不变,请保留默认选项保持当前设置

    有关 Shield Advanced 应用程序层 DDoS 自动缓解的更多信息,请参阅 Shield Advanced 应用程序层 DDoS 自动缓解

  4. 选择下一步

创建警报和通知

以下过程说明如何管理受保护资源的 CloudWatch 警报。

注意

CloudWatch 会产生额外费用。有关 CloudWatch 定价,请参阅 Amazon CloudWatch 定价

创建警报和通知

  1. 在保护页面创建警报和通知(可选中,为要接收的警报和通知配置 SNS 主题。对于不想接收通知的资源,请选择 无主题。可以添加一个 Amazon SNS 主题,也可以创建一个新的主题。

  2. 要创建 Amazon SNS 主题,请执行以下步骤:

    1. 从下拉列表中,选择创建 SNS 主题

    2. 输入主题名称。

    3. 可选择输入 Amazon SNS 消息将发送到的电子邮件地址,然后选择添加电子邮件地址。可以输入多个。

    4. 选择 创建

  3. 选择下一步

移除对 Amazon 资源的 Amazon Shield Advanced 保护

您可以随时取消对任何 Amazon 资源的 Amazon Shield Advanced 保护。

重要

删除 Amazon 资源并不会从中移除该资源 Amazon Shield Advanced。您还必须从中移除对资源的保护 Amazon Shield Advanced,如本过程所述。

移除对 Amazon 资源的 Amazon Shield Advanced 保护

  1. 登录 Amazon Web Services Management Console 并打开 Amazon WAF & Shield 控制台,网址为 https://console.aws.amazon.com/wafv2/

  2. 在 Amazon Shield 导航窗格中,选择受保护的资源

  3. 保护选项卡中,选择要删除其保护的资源。

  4. 选择删除保护

    1. 如果您为保护配置了 Amazon CloudWatch 警报,则可以选择删除警报和保护。如果您选择此时不删除警报,则可以在以后使用 CloudWatch 控制台将其删除。

    注意

    对于配置了 Amazon Route 53 运行状况检查的保护,如果稍后再次添加保护,则保护仍会包括该运行状况检查。

前面的步骤取消了对特定 Amazon 资源的 Amazon Shield Advanced 保护。他们不会取消您的 Amazon Shield Advanced 订阅。您将继续为该服务付费。有关您的 Amazon Shield Advanced 订阅的信息,请联系Amazon Web Services Support 中心

从 Shield 高级保护中移除 CloudWatch 警报

要从 Shield 高级防护中移除 CloudWatch 警报,请执行以下任一操作:

  • 删除保护,如移除对 Amazon 资源的 Amazon Shield Advanced 保护中所述。确保选中 同时删除相关的 DDoSDetection 警报 旁边的复选框。

  • 使用 CloudWatch 控制台删除警报。要删除的警报的名称以 DDoS DetectedAlarmForProtection 开头。