Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# `AWSPremiumSupport-DDoSResiliencyAssessment`
**Deskripsi**
Runbook AWS Systems Manager otomatisasi membantu Anda memeriksa kerentanan DDo S dan konfigurasi sumber daya sesuai dengan AWS Shield Advanced perlindungan untuk Anda. `AWSPremiumSupport-DDoSResiliencyAssessment` Akun AWS Ini menyediakan laporan pengaturan konfigurasi untuk sumber daya yang rentan terhadap serangan Distributed Denial of Service (DDoS). Ini digunakan untuk mengumpulkan, menganalisis, dan menilai sumber daya berikut: Amazon Route 53, Amazon Load Balancers, CloudFront distribusi Amazon, AWS Global Accelerator dan AWS Elastic IPs untuk pengaturan konfigurasi mereka sesuai dengan praktik terbaik yang direkomendasikan untuk Perlindungan. AWS Shield Advanced Laporan konfigurasi akhir tersedia di bucket Amazon S3 pilihan Anda sebagai file HTML.
**Bagaimana cara kerjanya?**
Runbook ini berisi serangkaian pemeriksaan untuk berbagai jenis sumber daya yang diaktifkan untuk akses publik dan jika mereka memiliki perlindungan yang dikonfigurasi sesuai rekomendasi di Whitepaper [Praktik Terbaik AWS DDo S](https://docs.aws.amazon.com//pdfs/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.pdf). Runbook melakukan hal berikut:
+ Memeriksa apakah langganan AWS Shield Advanced diaktifkan.
+ Jika diaktifkan, ia menemukan apakah ada sumber daya yang dilindungi Shield Advanced.
+ Ia menemukan semua sumber daya global dan regional di Akun AWS dan memeriksa apakah ini dilindungi oleh Shield.
+ Ini memerlukan parameter Jenis Sumber Daya untuk penilaian, nama bucket Amazon S3, dan ID Akun AWS bucket Amazon S3 (S3). BucketOwner
+ Ini mengembalikan temuan sebagai laporan HTML yang disimpan di bucket Amazon S3 yang disediakan.
Parameter input `AssessmentType` memutuskan apakah pemeriksaan pada semua sumber daya akan dilakukan. Secara default, runbook memeriksa semua jenis sumber daya. Jika hanya `GlobalResources` atau `RegionalResources` parameter yang dipilih, runbook hanya melakukan pemeriksaan pada jenis sumber daya yang dipilih.
**penting**
Akses ke `AWSPremiumSupport-*` runbook memerlukan Business \$1 Support, Enterprise Support, atau Unified Operations Subscription. Untuk informasi selengkapnya, lihat [Bandingkan AWS Dukungan Paket](https://aws.amazon.com/premiumsupport/plans/).
Runbook ini membutuhkan `ACTIVE` [AWS Shield Advanced langganan](https://docs.aws.amazon.com/waf/latest/developerguide/enable-ddos-prem.html).
[Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
**Jenis dokumen**
Otomatisasi
**Pemilik**
Amazon
**Platform**
Linux,macOS, Windows
**Parameter**
+ AutomationAssumeRole
Tipe: String
Deskripsi: (Opsional) Nama Sumber Daya Amazon (ARN) peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
+ AssessmentType
Tipe: String
Deskripsi: (Opsional) Menentukan jenis sumber daya yang akan dievaluasi untuk penilaian ketahanan DDo S. Secara default, runbook akan mengevaluasi sumber daya global dan regional. Untuk sumber daya regional, runbook menjelaskan semua penyeimbang beban Application (ALB) dan Network (NLB) serta semua grup Auto Scaling di /region Anda. Akun AWS
Nilai yang valid: `['Global Resources', 'Regional Resources', 'Global and Regional Resources']`
Default: Sumber Daya Global dan Regional
+ S3 BucketName
Tipe: `AWS::S3::Bucket::Name`
Deskripsi: (Wajib) Nama bucket Amazon S3 tempat laporan akan diunggah.
Pola yang Diizinkan: `^[0-9a-z][a-z0-9\-\.]{3,63}$`
+ S3 BucketOwnerAccount
Tipe: String
Deskripsi: (Opsional) Akun AWS Yang memiliki ember Amazon S3. Harap tentukan parameter ini jika bucket Amazon S3 milik yang berbeda Akun AWS, jika tidak, Anda dapat membiarkan parameter ini kosong.
Pola yang Diizinkan: `^$|^[0-9]{12,13}$`
+ S3 BucketOwnerRoleArn
Tipe: `AWS::IAM::Role::Arn`
Deskripsi: (Opsional) ARN peran IAM dengan izin untuk menjelaskan bucket Amazon S3 dan Akun AWS memblokir konfigurasi akses publik jika bucket berbeda. Akun AWS Jika parameter ini tidak ditentukan, runbook menggunakan `AutomationAssumeRole` atau pengguna IAM yang memulai runbook ini (jika tidak `AutomationAssumeRole` ditentukan). Silakan lihat bagian izin yang diperlukan di deskripsi buku runbook.
Pola yang Diizinkan: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$`
+ S3 BucketPrefix
Tipe: String
Deskripsi: (Opsional) Awalan untuk jalur di dalam Amazon S3 untuk menyimpan hasil.
Pola yang Diizinkan: `^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$`
**Izin IAM yang diperlukan**
`AutomationAssumeRole`Parameter memerlukan tindakan berikut untuk menggunakan runbook dengan sukses.
+ `autoscaling:DescribeAutoScalingGroups`
+ `cloudfront:ListDistributions`
+ `ec2:DescribeAddresses`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeInstances`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeTargetGroups`
+ `globalaccelerator:ListAccelerators`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `route53:ListHostedZones`
+ `route53:GetHealthCheck`
+ `shield:ListProtections`
+ `shield:GetSubscriptionState`
+ `shield:DescribeSubscription`
+ `shield:DescribeEmergencyContactSettings`
+ `shield:DescribeDRTAccess`
+ `waf:GetWebACL`
+ `waf:GetRateBasedRule`
+ `wafv2:GetWebACL`
+ `wafv2:GetWebACLForResource`
+ `waf-regional:GetWebACLForResource`
+ `waf-regional:GetWebACL`
+ `s3:ListBucket`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketEncryption`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutObject`
**Contoh Kebijakan IAM untuk Otomasi Asumsikan Peran**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::/*",
"Effect": "Allow"
},
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"cloudfront:ListDistributions",
"ec2:DescribeInstances",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkAcls",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"globalaccelerator:ListAccelerators",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"route53:ListHostedZones",
"route53:GetHealthCheck",
"shield:ListProtections",
"shield:GetSubscriptionState",
"shield:DescribeSubscription",
"shield:DescribeEmergencyContactSettings",
"shield:DescribeDRTAccess",
"waf:GetWebACL",
"waf:GetRateBasedRule",
"wafv2:GetWebACL",
"wafv2:GetWebACLForResource",
"waf-regional:GetWebACLForResource",
"waf-regional:GetWebACL"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/automation-assume-role-name",
"Effect": "Allow"
}
]
}
```
------
**Instruksi**
1. Arahkan ke [AWSPremiumSupport-DDoSResiliencyAssessment](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)di AWS Systems Manager Konsol.
1. Pilih **Jalankan Otomasi**
1. Untuk parameter input, masukkan yang berikut ini:
+ **AutomationAssumeRole(Opsional):**
Nama Sumber Daya Amazon (ARN) dari peran AWS Identity and Access Management (IAM) yang memungkinkan Otomasi Systems Manager untuk melakukan tindakan atas nama Anda. Jika tidak ada peran yang ditentukan, Systems Manager Automation menggunakan izin pengguna yang memulai runbook ini.
+ **AssessmentType(Opsional):**
Menentukan jenis sumber daya untuk dievaluasi untuk penilaian ketahanan DDo S. Secara default, runbook mengevaluasi sumber daya global dan regional.
+ **S3 BucketName (Diperlukan):**
Nama bucket Amazon S3 untuk menyimpan laporan penilaian dalam format HTML.
+ **S3 BucketOwner (Opsional):**
Akun AWS ID bucket Amazon S3 untuk verifikasi kepemilikan. Akun AWS ID diperlukan jika laporan perlu dipublikasikan ke bucket Amazon S3 lintas akun dan opsional jika bucket Amazon S3 sama dengan inisiasi otomatisasi. Akun AWS
+ **S3 BucketPrefix (Opsional):**
Awalan apa pun untuk jalur di dalam Amazon S3 untuk menyimpan hasilnya.
![\[Input parameters form for AWS Systems Manager Automation with fields for role, resources, and S3 bucket settings.\]](http://docs.aws.amazon.com/id_id/systems-manager-automation-runbooks/latest/userguide/images/premsupport-ddos-resiliency-assessment_input_parameters.png)
1. Pilih **Jalankan**.
1. Otomatisasi dimulai.
1. Dokumen melakukan langkah-langkah berikut:
+ **CheckShieldAdvancedState:**
Memverifikasi Akun AWS apakah berlangganan AWS Shield Advanced dan apakah runbook memiliki akses ke bucket Amazon S3.
+ **S3BucketSecurityChecks:**
Memeriksa apakah bucket Amazon S3 yang ditentukan dalam “S3BucketName" memungkinkan izin akses baca atau tulis anonim, atau publik, apakah bucket mengaktifkan enkripsi saat istirahat, dan jika Akun AWS ID yang disediakan di “S3BucketOwner" adalah pemilik bucket Amazon S3.
+ **BranchOnShieldAdvancedStatus:**
Cabang mendokumentasikan langkah-langkah berdasarkan status AWS Shield Advanced Berlangganan Status Kepemilikan Bucket and/or Amazon S3.
+ **ShieldAdvancedConfigurationReview:**
Ulasan Shield Konfigurasi lanjutan untuk memastikan detail minimum yang diperlukan ada. Misalnya: Tim IAM Access for AWS Shield Response Team (SRT), Detail Daftar Kontak, dan Status Keterlibatan Proaktif SRT.
+ **ListShieldAdvancedProtections:**
Daftar Sumber Daya yang Dilindungi Shield dan membuat grup sumber daya yang dilindungi untuk setiap layanan.
+ **BranchOnResourceTypeAndCount:**
Cabang mendokumentasikan langkah-langkah berdasarkan nilai parameter Jenis Sumber Daya dan jumlah sumber daya global yang dilindungi Shield.
+ **ReviewGlobalResources:**
Meninjau sumber daya Global yang dilindungi Shield Advanced seperti Zona yang Dihosting Route 53, CloudFront Distribusi, dan Akselerator Global.
+ **BranchOnResourceType:**
Cabang mendokumentasikan langkah-langkah berdasarkan pilihan jenis Sumber Daya, jika Global, Regional, atau keduanya.
+ **ReviewRegionalResources:**
Meninjau sumber daya Regional yang dilindungi Shield Advanced seperti Application Load Balancers, Network Load Balancers, Classic Load Balancers, Amazon Elastic Compute Cloud (Amazon EC2) Instances (Elastic). IPs
+ **SendReportToS3:**
Mengunggah detail Laporan Penilaian DDo S ke bucket Amazon S3.
1. Setelah selesai, URI untuk file HTML laporan penilaian disediakan di bucket Amazon S3:
**Tautan Konsol S3 dan URI Amazon S3 untuk Laporan tentang keberhasilan eksekusi runbook**
![\[Execution status showing successful completion with 9 steps executed and no failures.\]](http://docs.aws.amazon.com/id_id/systems-manager-automation-runbooks/latest/userguide/images/premsupport-ddos-resiliency-assessment_outputs.png)
**Referensi**
Otomatisasi Systems Manager
+ [Jalankan Otomasi ini (konsol)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
+ [Jalankan otomatisasi](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Menyiapkan Otomasi](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support Automation Workflow landing page](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS dokumentasi layanan
+ [AWS Shield Advanced](https://docs.aws.amazon.com//waf/latest/developerguide/ddos-advanced-summary.html)