Amazon CloudFormation 与自动应用层 DDo S 缓解一起使用 - Amazon WAFAmazon Firewall Manager、和 Amazon Shield Advanced
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon CloudFormation 与自动应用层 DDo S 缓解一起使用

本页介绍如何使用 Amazon CloudFormation 来管理您的防护和 Amazon WAF 网络 ACLs。

启用或禁用自动应用层 DDo S 缓解措施

您可以使用AWS::Shield::Protection资源通过 Amazon CloudFormation启用和禁用自动应用层 DDo S 缓解措施。效果与通过控制台或任何其他界面启用或禁用该功能时的效果相同。有关 Amazon CloudFormation 资源的信息,请参阅Amazon CloudFormation 用户指南AWS::Shield::Protection中的。

管理带有自动缓解功能的 Web ACLs

Shield Advanced 使用受保护资源的 Amazon WAF Web ACL 中的规则组规则管理受保护资源的自动缓解措施。通过 Amazon WAF 控制台和 APIs,您将看到 Web ACL 规则中列出的规则,其名称以开头ShieldMitigationRuleGroup。此规则专用于您的自动应用层 DDo S 缓解措施,由 Shield Advanced 和 Amazon WAF. 有关更多信息,请参阅使用 Shield Advanced 规则组保护应用程序层Shield Advanced 如何管理自动缓解

如果您使用 Amazon CloudFormation 管理网页 ACLs,请不要将 Shield Advanced 规则组规则添加到您的网页 ACL 模板中。当您更新与自动缓解保护一起使用的 Web ACL 时, Amazon WAF 会自动管理 Web ACL 中的规则组规则。

与您通过其他 Web 进行管理相比 ACLs ,您会发现以下区别 Amazon CloudFormation:

  • Amazon CloudFormation 不会报告使用 Shield Advanced 规则组规则的 Web ACL 的实际配置与没有规则的 Web ACL 模板之间的堆栈偏移状态有任何偏差。Shield Advanced 规则不会出现在资源实际列表的偏移细节中。

    您将能够在从中检索的 Web ACL 列表中看到 Shield Advanced 规则组规则 Amazon WAF,例如通过 Amazon WAF 控制台或 Amazon WAF APIs。

  • 如果您修改堆栈中的 Web ACL 模板, Amazon WAF Shield Advanced 会在更新后的 Web ACL 中自动维护 Shield Advanced 自动缓解规则。Shield Advanced 提供的自动缓解保护不会因您对 Web ACL 的更新而中断。

不要在你的 Amazon CloudFormation 网页 ACL 模板中管理 Shield Advanced 规则。Web ACL 模板不应列出 Shield Advanced 规则。请在 使用自动应用层 DDo S 缓解措施的最佳实践 按照 Web ACL 管理的最佳实践进行操作。