Shield Advanced がリソースを DDoS 攻撃から保護しているかどうかを確認する方法を教えてください。

簡単な説明

Shield Advanced がリソースを保護していることを確認するには、AWSPremiumSupport-DDoSResiliencyAssessment ランブックを使用してリソースチェックを自動化します。

ランブックは、Shield Advanced がリソースのベストプラクティスに基づいて設定されているかどうかを示すレポートを生成します。

注: このランブックは Amazon Simple Storage Service (Amazon S3) バケットにファイルを発行するため、料金が発生する可能性があります。詳細については、「Amazon S3 の料金」を参照してください。

解決策

AWSPremiumSupport-DDoSResiliencyAssessment ランブックを実行するには、次の手順を実行します。

1. AWS Systems Manager コンソールを開きます。
2. AWSPremiumSupport-DDoSResiliencyAssessment ランブックにアクセスします。
3. 自動化を実行する AWS アカウントの AWS リージョンを選択します。
4. [オートメーションの実行] を選択します。
5. 入力パラメータに次の値を入力します。
   (オプション) AutomationAssumeRoleSystems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの ARN。ロールを指定しない場合、Systems Manager Automation は Runbook を起動したユーザーのアクセス許可を使用します。
   (オプション) AssessmentType評価するリソースのタイプ。デフォルトでは、ランブックはグローバルリソースとリージョナルリソースを評価します。
   S3BucketName評価レポートを保存する Amazon S3 バケットの名前。
   S3BucketOwnerAccountAmazon S3 バケットを所有しているアカウントの ID。バケットが自動化を実行しているアカウントとは異なるアカウントに属している場合にのみ必要です。
   (オプション) S3BucketPrefixレポートを保存する Amazon S3 バケット内のパスのプレフィックス。
   (オプション) S3BucketOwnerRoleArnAmazon S3 バケットを記述するアクセス許可を持つ IAM ロールの ARN。バケットが別のアカウントにある場合、この IAM ロールはパブリックアクセス設定を制御することもできます。S3BucketOwnerRoleArn を指定しない場合、ランブックは AutomationAssumeRole またはランブックを起動した IAM ユーザーを使用します。
6. [実行] を選択します。
7. レポートの [出力] セクションで Amazon S3 バケットの URL を探します。
8. ウェブブラウザで URL を開き、HTML 評価レポートファイルを表示します。
9. レポートで Shield Advanced 保護が有効になっているリソースを確認できます。追加情報を確認するには、リストからリソースを選択します。

リソースで Shield Advanced 保護を有効にするには、レポートで [Shield 保護リストにリソースを追加] を選択します。

関連情報

DDoS 耐障害性に関する AWS のベストプラクティス

自動化をステップごとに実行する

Automation を設定する

AWS Support Automation Workflows (SAW)