Comment puis-je protéger mes ressources AWS contre les attaques DDoS ?

Lecture de 3 minute(s)
0

Je souhaite vérifier si AWS Shield Advanced protège mes ressources AWS contre les attaques par déni de service distribué (DDoS).

Brève description

AWS Shield Advanced est un service qui vous aide à protéger votre application contre les menaces externes, telles que les attaques DDoS. Pour vérifier si Shield Advanced protège vos ressources, utilisez le dossier d’exploitation AWSPremiumSupport-DDoSResiliencyAssessment pour automatiser une vérification des ressources.

Le dossier d’exploitation génère un rapport qui indique si Shield Advanced est activé et configuré en fonction des bonnes pratiques pour vos ressources spécifiques.

Remarque : Le dossier d’exploitation publie un fichier dans le compartiment Amazon Simple Storage Service (Amazon S3) et peut entraîner des frais. Pour plus d’informations, consultez la section Tarification d’Amazon S3.

Résolution

Pour exécuter le dossier d’exploitation AWSPremiumSupport-DDoSResiliencyAssessment, procédez comme suit :

  1. Accédez au dossier d’exploitation AWSPremiumSupport-DDoSResiliencyAssessment dans la console AWS Systems Manager.
  2. Choisissez la région AWS pour le compte sur lequel vous souhaitez exécuter l'automatisation.
  3. Sélectionnez Exécuter l'automatisation.
  4. Saisissez les valeurs suivantes pour les paramètres d'entrée :
    (Facultatif) AutomationAssumeRole : ARN du rôle AWS Identity and Access Management (IAM) qui permet à Systems Manager Automation d'effectuer les actions en votre nom. Si vous ne spécifiez aucun rôle, Systems Manager Automation utilise les autorisations de l'utilisateur qui a lancé le dossier d’exploitation.
    (Facultatif) AssessmentType : Type de ressources à évaluer pour l'évaluation de la résilience DDoS. Par défaut, le dossier d’exploitation évalue les ressources globales et régionales AWS.
    S3BucketName : Nom du compartiment Amazon S3 dans lequel vous souhaitez enregistrer le rapport d'évaluation.
    S3BucketOwnerAccount : ID du compte AWS propriétaire du compartiment Amazon S3. Cela n'est nécessaire que si le compartiment Amazon S3 appartient à un compte autre que celui qui exécute l'automatisation.
    (Facultatif) S3BucketPrefix : Préfixe du chemin dans le compartiment Amazon S3 où vous souhaitez stocker le rapport.
    (Facultatif) S3BucketOwnerRoleArn : ARN d'un rôle IAM disposant d’autorisations pour décrire le compartiment Amazon S3. Si le compartiment se trouve dans un autre compte, ce rôle peut également contrôler la configuration de l'accès public. Si vous ne spécifiez pas ce paramètre, le dossier d’exploitation utilise AutomationAssumeRole ou l'utilisateur IAM qui l’a démarré.
  5. Sélectionnez Exécuter.
  6. Localisez l'URL du compartiment Amazon S3 dans la section Sortie du rapport.
  7. Ouvrez l'URL dans un navigateur Web pour afficher le fichier HTML du rapport d'évaluation.
  8. Dans le rapport, consultez les informations sur les ressources pour lesquelles Shield Advanced Protection est activé. Pour obtenir des informations supplémentaires, choisissez une ressource dans la liste.

Pour activer Shield Advanced Protection pour les ressources, sélectionnez Ajouter des ressources à la liste protégée par Shield pour la ressource figurant dans le rapport.

Informations connexes

Bonnes pratiques AWS en matière de résilience aux attaques DDoS

Exécuter une automatisation

Configuration d’une automatisation

AWS Support Automation Workflows (SAW)