与应用程序层 DDoS 自动缓解的配合使用 Amazon CloudFormation - Amazon WAF、Amazon Firewall Manager、Amazon Shield Advanced 和 Amazon Shield 网络安全分析器
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

介绍 Amazon WAF 的全新控制台体验

现在,您可以使用更新后的体验访问控制台中任意位置的 Amazon WAF 功能。有关更多详细信息,请参阅 使用更新的控制台体验

与应用程序层 DDoS 自动缓解的配合使用 Amazon CloudFormation

本节介绍了如何使用 Amazon CloudFormation 来管理您的保护和 Amazon WAF Web ACL。

启用或禁用应用程序层 DDoS 自动缓解

您可以使用 AWS::Shield::Protection 资源通过 Amazon CloudFormation 启用和禁用应用程序层 DDoS 自动缓解。效果与通过控制台或任何其他界面启用或禁用该功能时的效果相同。有关 Amazon CloudFormation 资源的信息,请参阅 Amazon CloudFormation 用户指南中的 AWS::Shield::Protection

管理与自动缓解配合使用的 Web ACL

Shield Advanced 使用受保护资源的 Amazon WAF Web ACL 中的规则组规则管理受保护资源的自动缓解措施。通过 Amazon WAF 控制台和 API,您将看到 Web ACL 规则中列出的规则,其名称以 ShieldMitigationRuleGroup 开头。该规则专用于您的应用程序层 DDoS 自动缓解,由 Shield Advanced 和 Amazon WAF 管理. 有关更多信息,请参阅使用 Shield Advanced 规则组保护应用程序层Shield Advanced 如何管理自动缓解

如果您使用 Amazon CloudFormation 管理 Web ACL,请不要将 Shield Advanced 规则组规则添加到您的 Web ACL 模板中。当您更新与自动缓解保护一起使用的 Web ACL 时,Amazon WAF 会自动管理 Web ACL 中的规则组规则。

与您通过 Amazon CloudFormation 管理的其他 Web ACL 相比,它将呈现以下区别:

  • Amazon CloudFormation 不会报告使用 Shield Advanced 规则组规则的 Web ACL 的实际配置与没有该规则的 Web ACL 模板之间的堆栈偏移状态的任何偏移。Shield Advanced 规则不会出现在资源实际列表的偏移细节中。

    您能够在 Amazon WAF 中检索的 Web ACL 列表中看到 Shield Advanced 规则组规则,例如通过 Amazon WAF 控制台或 Amazon WAF API。

  • 如果您修改堆栈中的 Web ACL 模板,Amazon WAF 和 Shield Advanced 会在更新后的 Web ACL 中自动维护 Shield Advanced 自动缓解规则。Shield Advanced 提供的自动缓解保护不会因您对 Web ACL 的更新而中断。

不要管理 Amazon CloudFormation Web ACL 模板中的 Shield Advanced 规则。Web ACL 模板不应列出 Shield Advanced 规则。请在 使用应用程序层 DDoS 自动缓解的最佳实践 按照 Web ACL 管理的最佳实践进行操作。