Amazon Shield Advanced 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Shield Advanced 策略的范围变更亚马逊的自动应用程序层缓解 CloudFront 资源确定版本Amazon WAF由 Shield Advanced 策略使用
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield Advanced 策略

当你应用启用了auto 修复的 Firewall Manager Shield Advanced 策略时,对于每个尚未关联的范围内的资源Amazon WAFWeb ACL,Firewall Manager 关联一个空的Amazon WAFWeb ACL。空网页 ACL 仅用于Shield 监控目的。如果您随后将任何其他 Web ACL 关联到该资源,则Firewall Manager 会删除空的 Web ACL 关联。

如何示例Amazon Firewall Manager管理 Shield 策略中的范围变更

账户和资源可能会超出其范围Amazon Firewall ManagerShield Advanced 策略是由于多项更改而导致的,例如策略范围设置的更改、资源标签的更改以及从组织中删除账户。有关策略范围设置的一般信息,请参阅Amazon Firewall Manager策略范围.

用Amazon Firewall ManagerShield Advanced 策略,如果账户或资源超出范围,Firewall Manager 将停止监控该账户或资源。

如果某个账户因被从组织中移除而超出范围,则该账户将继续订阅 Shield Advanced。由于该账户不再是整合账单系列的一部分,因此该账户将按比例收取 Shield Advanced 订阅费。另一方面,超出范围但仍留在组织中的账户不会产生额外费用。

如果资源超出范围,它将继续受到 Shield Advanced 的保护,并继续产生 Shield Advanced 数据传输费用。

亚马逊自动应用层 DDoS 缓解措施 CloudFront分布

当您对亚马逊应用 Shield Advanced 政策时 CloudFront 发行版,你可以选择在策略中配置 Shield Advanced 自动应用层 DDoS 缓解措施。

有关 Shield Advanced 自动缓解的信息,请参阅Shield 高级自动应用层 DDoS 缓解.

Shield Advanced 自动应用层 DDoS 缓解具有以下要求:

  • 自动应用层 DDoS 缓解功能仅适用于亚马逊 CloudFront 资源。

    因此,你只能为你为 Shield Advanced 创建的 Shield Advanced 策略选择此选项服务全球区域,用于亚马逊 CloudFront 分配。

  • 自动应用层 DDoS 缓解仅适用于使用最新版本的 Web ACLAmazon WAF(v2)。您不能将自动缓解与Amazon WAF经典 Web ACL。

    正因为如此,如果你有一项使用Amazon WAF经典 Web ACL,您需要将策略替换为新策略,新策略将自动使用最新版本的Amazon WAF,或者让 Firewall Manager 为你的现有策略创建新版本的 Web ACL,然后切换到使用它们。有关选项的更多信息,请参阅Replace(替换)Amazon WAF带有最新版本 Web ACL 的经典 Web ACL

自动缓解配置

Firewall Manager Shield Advanced 策略的自动应用层 DDoS 缓解选项将 Shield Advanced 自动缓解功能应用于您的策略范围内的账户和资源。有关此 Shield Advanced 功能的详细信息,请参阅Shield 高级自动应用层 DDoS 缓解.

您可以选择让 Firewall Manager 启用或禁用自动缓解功能 CloudFront在政策范围内的分发,或者你可以选择让策略忽略 Shield Advanced 自动缓解设置:

  • 启用— 如果您选择启用自动缓解,则还要指定缓解 Shield Advanced 规则是否应计算或屏蔽匹配的 Web 请求。如果范围内的资源未启用自动缓解,或者使用的规则操作与您为策略指定的规则操作不匹配,Firewall Manager 会将这些资源标记为不合规。如果您将策略配置为自动修复,Firewall Manager 会根据需要更新不合规的资源。

  • 禁用— 如果您选择禁用自动缓解,Firewall Manager 会将范围内的资源标记为不合规,前提是这些资源已启用自动缓解。如果您将策略配置为自动修复,Firewall Manager 会根据需要更新不合规的资源。

  • Ignore— 如果您选择忽略自动缓解,Firewall Manager 在执行策略修复活动时不会考虑任何自动缓解设置。此设置允许您通过 Shield Advanced 在资源级别启用或禁用自动缓解功能,而无需由 Firewall Manager 覆盖这些设置。

Replace(替换)Amazon WAF带有最新版本 Web ACL 的经典 Web ACL

自动应用层 DDoS 缓解仅适用于使用最新版本的 Web ACLAmazon WAF(v2)。您不能将自动缓解与Amazon WAF经典 Web ACL。

要确定您的 Shield Advanced 策略的 Web ACL 版本,请参阅确定版本Amazon WAF这是 Shield Advanced 策略所使用的.

如果你想在 Shield Advanced 策略中使用自动缓解,而你的保单目前使用Amazon WAF经典 Web ACL,您可以创建新的 Shield Advanced 策略来替换当前的 Shield Advanced 策略,也可以使用本节中描述的选项将早期版本的 Web ACL 替换为当前 Shield Advanced 策略中的新 (v2) Web ACL。新策略始终使用最新版本的 Web ACL 创建Amazon WAF. 如果替换整个策略,则在删除策略时,也可以让 Firewall Manager 删除所有早期版本的 Web ACL。本节的其余部分描述了在现有策略中替换 Web ACL 的选项。

当您修改亚马逊的现有 Shield Advanced 政策时 CloudFront 资源,Firewall Manager 可以自动创建一个新的空白资源Amazon WAF(v2) 策略的 Web ACL,位于任何尚未有 v2 Web ACL 的范围内的账户中。当 Firewall Manager 创建新的 Web ACL 时,如果策略已经有Amazon WAF在同一个账户中,Firewall Manager 使用与现有 Web ACL 相同的默认操作设置来配置新版本的 Web ACL。如果不存在Amazon WAF经典 Web ACL,Firewall Manager 将默认操作设置为Allow在新的 Web ACL 中。Firewall Manager 创建新的 Web ACL 后,您可以根据需要通过以下方式对其进行自定义Amazon WAF控制台。

当您选择以下任何策略配置选项时,Firewall Manager 会为在范围内尚没有 Web ACL 的帐户创建新的 (v2) Web ACL:

  • 启用或禁用自动应用层 DDoS 缓解功能时。仅此选择只会导致 Firewall Manager 创建新的 Web ACL,而不会替换任何现有的 Web ACLAmazon WAF策略范围内资源的经典 Web ACL 关联。

  • 当您选择自动修复的策略操作并选择要替换的选项时Amazon WAF带有以下内容的经典 Web ACLAmazon WAF(v2) Web ACL。无论您选择哪种配置来自动缓解应用层 DDoS,您都可以选择替换早期版本的 Web ACL。

    选择替换选项时,Firewall Manager 会根据需要创建新版本的 Web ACL,然后对策略的范围内资源执行以下操作:

    • 如果某个资源与来自任何其他活动Firewall Manager 策略的 Web ACL 相关联,Firewall Manager 将不使用该关联。

    • 对于任何其他情况,Firewall Manager 会删除与Amazon WAF经典 Web ACL 并将资源与策略关联起来Amazon WAF(v2) Web ACL。

您可以根据需要选择让Firewall Manager 将早期版本的 Web ACL 替换为新版本的 Web ACL。如果你之前已经自定义了保单的Amazon WAF经典 Web ACL,在选择让 Firewall Manager 执行替换步骤之前,您可以将新版本的 Web ACL 更新为类似的设置。

您可以通过相同版本的控制台访问策略的 Web ACL 的任一版本Amazon WAF要么Amazon WAF经典。

Firewall Manager 不会删除任何替换的内容Amazon WAF经典 Web ACL,直到您删除策略本身。之后Amazon WAF该策略不再使用经典 Web ACL,您可以根据需要将其删除。

确定版本Amazon WAF这是 Shield Advanced 策略所使用的

您可以确定哪个版本的Amazon WAF你的 Firewall Manager Shield Advanced 策略通过查看策略中的参数密钥来使用Amazon Config服务相关规则。如果Amazon WAF正在使用的版本是最新的,参数键包括policyIdwebAclArn. 如果是较早的版本,Amazon WAF经典,参数键包括webAclIdresourceTypes.

这些区域有:Amazon Config规则仅列出策略当前使用的 Web ACL 的密钥,这些密钥以及范围内的资源。

要确定哪个版本的Amazon WAF您的Firewall Manager Shield

  1. 检索 Shield Advanced 策略的策略 ID:

    1. 登录Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户,然后打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2.

    2. 在导航窗格中,选择安全策略.

    3. 为该政策选择区域。对于 CloudFront 分布,这是Global.

    4. 找到所需的保单并复制其值策略 ID 示例.

      示例策略 ID:1111111-2222-3333-4444-a55aa5aaa555.

  2. 创建策略的Amazon Config通过将策略 ID 附加到字符串来规则名称FMManagedShieldConfigRule.

    示例Amazon Config规则名称:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. 搜索关联的参数Amazon Config名为的密钥规则policyIdwebAclArn

    1. 通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

    2. 在导航窗格中,选择 Rules (规则)

    3. 查找您的Firewall Manager 策略Amazon Config列表中的规则名称并将其选中。将打开规则页面。

    4. 下面规则详情,在参数部分,看看钥匙。如果你找到名为的密钥policyIdwebAclArn,该策略使用使用最新版本的 Web ACLAmazon WAF. 如果你找到名为的密钥webAclIdresourceTypes,该策略使用使用早期版本创建的 Web ACL,Amazon WAF经典。