Amazon Shield Advanced 策略 - Amazon WAF、Amazon Firewall Manager 和 Amazon Shield Advanced
Shield Advanced 策略范围的变化自动缓解亚马逊 CloudFront 资源的应用层风险确定 Shield Advanced 策略Amazon WAF使用的版本
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Shield Advanced 策略

在应用启用auto 修复的 Firewall Manager Shield Advanced 策略时,对于每个尚未与Amazon WAF Web ACL 关联的作用域内资源,Firewall Manager 会关联一个空Amazon WAF Web ACL。空的 Web ACL 仅用于 Shield 监视目的。如果您随后将任何其他 Web ACL 关联到该资源,则Firewall Manager 会删除空的 Web ACL 关联。

注意

当Amazon WAF策略范围内的资源进入配置了自动应用层 DDoS 缓解的 Shield Advanced 策略的范围时,Firewall Manager 只有在关联Amazon WAF策略创建的 Web ACL 后才会应用 Shield Advanced 保护。

如何Amazon Firewall Manager管理Shield 政策中的范围变更

帐户和资源可能会由于许多更改而超出Amazon Firewall Manager Shield Advanced 政策的范围,例如策略范围设置的更改、资源标签的更改以及从组织中删除帐户。有关策略范围设置的一般信息,请参阅Amazon Firewall Manager策略范围

使用Amazon Firewall Manager Shield Advanced 策略时,如果帐户或资源超出范围,Firewall Manager 将停止监视该帐户或资源。

如果账户因被从组织中移除而超出范围,则该账户将继续订阅 Shield Advanced。由于该账户不再是整合账单系列的一部分,因此该账户将按比例收取 Shield Advanced 订阅费。另一方面,超出范围但仍留在组织中的账户不会产生额外费用。

如果资源超出范围,它将继续受到 Shield Advanced 的保护,并继续收取 Shield Advanced 的数据传输费用。

自动缓解亚马逊 CloudFront发行版的应用层 DDoS

当您将 Shield Advanced 策略应用于亚马逊 CloudFront 发行版时,您可以选择在策略中配置 Shield Advanced 自动应用层 DDoS 缓解措施。

有关 Shield Advanced 自动缓解的信息,请参阅Shield Advanced 自动应用层 DDoS

Shield Advanced Advanced 自动缓解应用层 DDoS

  • 自动应用层 DDoS 缓解仅适用于亚马逊 CloudFront 资源。

    因此,您只能为为全球区域创建的 Shield Advanced 政策选择此选项,用于亚马逊 CloudFront 分配。

  • 自动应用层 DDoS 缓解仅适用于使用最新版本Amazon WAF (v2) 创建的 Web ACL。

    因此,如果您的策略使用Amazon WAF经典 Web ACL,则需要将该策略替换为新策略,新策略将自动使用最新版本的策略,或者让 Firewall Manager 为现有策略创建新版本的 Web ACL 并切换到使用它们。Amazon WAF有关选项的更多信息,请参阅将Amazon WAF经典 Web ACL 替换为最新版本的 Web ACL

自动缓解配置

Firewall Manager Shield Advanced 策略的自动应用层 DDoS 缓解选项将 Shield Advanced 自动缓解功能应用于策略范围内的账户和资源。有关此 Shield Advanced 功能的详细信息,请参阅Shield Advanced 自动应用层 DDoS

您可以选择让 Firewall Manager 为策略范围内的 CloudFront发行版启用或禁用自动缓解功能,也可以选择让策略忽略 Shield Advanced 自动防护设置:

  • 启用 — 如果您选择启用自动缓解,则还应指定缓解 Shield Advanced 规则应计入还是阻止匹配的 Web 请求。如果范围内的资源未启用自动缓解功能,或者使用的规则操作与您为策略指定的规则操作不匹配,Firewall Manager 会将这些资源标记为不合规。如果您将策略配置为自动修复,Firewall Manager 会根据需要更新不合规的资源。

  • 禁用-如果您选择禁用自动缓解,Firewall Manager 会将范围内的资源标记为不合规,前提是这些资源启用了自动缓解。如果您将策略配置为自动修复,Firewall Manager 会根据需要更新不合规的资源。

  • 忽略-如果您选择忽略自动缓解,Firewall Manager 在为该策略执行修复活动时不会考虑任何自动缓解设置。此设置允许您通过 Shield Advanced 在资源级别启用或禁用自动缓解功能,而不会被Firewall Manager 覆盖这些设置。

将Amazon WAF经典 Web ACL 替换为最新版本的 Web ACL

自动应用层 DDoS 缓解仅适用于使用最新版本Amazon WAF (v2) 创建的 Web ACL。

要确定您的 Shield Advanced 策略的网页 ACL 版本,请参阅确定 Shield AAmazon WAF dvanced 策略使用的版本

如果您想在 Shield Advanced 策略中使用自动缓解,并且您的策略当前使用Amazon WAF经典 Web ACL,则可以创建新的 Shield Advanced 策略来替换当前的 Shield Advanced 策略,也可以使用本节中描述的选项将早期版本的 Web ACL 替换为当前 Shield Advanced 策略中的新 (v2) Web ACL。新策略始终使用最新版本的创建 Web ACLAmazon WAF。如果您替换了整个策略,则在删除策略时,也可以让Firewall Manager 删除所有早期版本的 Web ACL。本节的其余部分描述了替换现有策略内的 Web ACL 的选项。

当您修改亚马逊 CloudFront 资源的现有 Shield Advanced 策略时,Firewall Manager 可以在任何还没有 v2 Web ACL 的作用域内账户中自动为该策略创建一个新的空Amazon WAF (v2) Web ACL。当Firewall Manager 创建新的 Web ACL 时,如果该策略已在同一账户中具有经Amazon WAF典 Web ACL,则Firewall Manager 使用与现有 Web ACL 相同的默认操作设置来配置新版本的 Web ACL。如果没有现有的经Amazon WAF典 Web ACL,则Firewall Manager 在新的 Web ACLAllow 中将默认操作设置为。Firewall Manager 创建新的 Web ACL 后,您可以根据需要通过Amazon WAF控制台对其进行自定义。

当您选择以下任一策略配置选项时,Firewall Manager 会为尚未拥有新的 (v2) Web ACL 的作用域内帐户创建新的 (v2) Web ACL:

  • 当您启用或禁用自动应用层 DDoS 缓解时。仅此选择仅会导致Firewall Manager 创建新的 Web ACL,而不会替换策略范围内资源上的任何现有Amazon WAF经典 Web ACL 关联。

  • 当您选择自动修复的策略操作并选择将Amazon WAF经典 Web ACL 替换为Amazon WAF (v2) Web ACL 的选项时。无论您为应用层 DDoS 自动缓解选择了何种配置,您都可以选择替换早期版本的 Web ACL。

    选择替换选项时,Firewall Manager 会根据需要创建新版本的 Web ACL,然后对策略的作用域内资源执行以下操作:

    • 如果资源与任何其他活动Firewall Manager 策略中的 Web ACL 相关联,则Firewall Manager 将不影响该关联。

    • 对于任何其他情况,Firewall Manager 都会删除与经Amazon WAF典 Web ACL 的任何关联,并将资源与策略的Amazon WAF (v2) Web ACL 关联。

您可以根据需要选择让Firewall Manager 将早期版本的 Web ACL 替换为新版本的 Web ACL。如果您之前自定义了策略的Amazon WAF经典 Web ACL,则可以在选择让Firewall Manager 执行替换步骤之前,将新版本的 Web ACL 更新为类似设置。

您可以通过相同版本的控制台访问策略的任一版本的 Web ACLAmazon WAF 或Amazon WAF Classic。

在您删除策略本身之前,Firewall Manager 不会删除任何替换的Amazon WAF经典 Web ACL。策略不再使用经Amazon WAF典 Web ACL 后,可以根据需要将其删除。

确定 Shield AAmazon WAF dvanced 策略使用的版本

您可以通过查看策略的Amazon Config服务关联规则中的参数密钥来确定Amazon WAF您的 Firewall Manager Shield Advanced 策略使用的版本。如果使用的Amazon WAF版本是最新版本,则参数键包括policyIdwebAclArn。如果是早期版本Amazon WAF Classic,则参数键包括webAclIdresourceTypes

该Amazon Config规则仅列出策略当前在作用域内资源中使用的 Web ACL 的密钥。

确定Amazon WAF您的 Firewall Manager Shield Manager Shield

  1. 检索 Shield Advanced 策略的策略 ID:

    1. Amazon Web Services Management Console使用您的Firewall Manager 管理员帐户登录,然后在上打开Firewall Manager 控制台https://console.amazonaws.cn/wafv2/fmsv2

    2. 在导航窗格中,选择 Security P olicies

    3. 为策略选择区域。对于 CloudFront 发行版来说,这是Global

    4. 找到所需的策略并复制其策略 ID 的值。

      策略ID示例:1111111-2222-3333-4444-a55aa5aaa555

  2. 通过将策略 ID 附加到字符串来创建策略的Amazon Config规则名称FMManagedShieldConfigRule

    示例Amazon Config规则名称:FMManagedShieldConfigRule1111111-2222-3333-4444-a55aa5aaa555.

  3. 在参数中搜索名为policyId和的密钥的关联Amazon Config规则webAclArn

    1. 通过以下网址打开 Amazon Config 控制台:https://console.aws.amazon.com/config/

    2. 在导航窗格中,选择 Rules (规则)

    3. 在列表中找到您的Firewall Manager 策略的Amazon Config规则名称并将其选中。此规则的页面将打开此页。

    4. 在 “规则详细信息” 下的 “参数” 部分,查看密钥。如果您找到名为policyId和的密钥webAclArn,则该策略将使用使用最新版本创建的 Web ACLAmazon WAF。如果您找到名为webAclId和的密钥resourceTypes,则该策略将使用使用早期版本 CAmazon WAF lassic 创建的 Web ACL。