**Memperkenalkan pengalaman konsol baru untuk AWS WAF**

Anda sekarang dapat menggunakan pengalaman yang diperbarui untuk mengakses AWS WAF fungsionalitas di mana saja di konsol. Untuk detail selengkapnya, lihat [Bekerja dengan konsol](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Perlindungan sumber daya di AWS Shield Advanced
<a name="ddos-resource-protections"></a>

Anda dapat menambahkan dan mengonfigurasi AWS Shield Advanced perlindungan untuk sumber daya Anda. Anda dapat mengelola perlindungan untuk satu sumber daya dan Anda dapat mengelompokkan sumber daya yang dilindungi ke dalam koleksi logis untuk manajemen acara yang lebih baik. Anda juga dapat melacak perubahan pada perlindungan Shield Advanced Anda menggunakan AWS Config. 

**catatan**  
Shield Advanced hanya melindungi sumber daya yang telah Anda tentukan di Shield Advanced atau melalui kebijakan AWS Firewall Manager Shield Advanced. Itu tidak secara otomatis melindungi sumber daya Anda.

Jika Anda menggunakan kebijakan AWS Firewall Manager Shield Advanced, Anda tidak perlu mengelola perlindungan untuk sumber daya yang berada dalam cakupan kebijakan. Firewall Manager secara otomatis mengelola perlindungan untuk akun dan sumber daya yang berada dalam cakupan kebijakan, sesuai dengan konfigurasi kebijakan. Lihat informasi yang lebih lengkap di [Menggunakan AWS Shield Advanced kebijakan di Firewall Manager](shield-policies.md).

**Topics**
+ [

# Daftar sumber daya yang AWS Shield Advanced melindungi
](ddos-protections-by-resource-type.md)
+ [

# Melindungi EC2 instans Amazon dan Network Load Balancer dengan Shield Advanced
](ddos-protections-ec2-nlb.md)
+ [

# Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF
](ddos-app-layer-protections.md)
+ [

# Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53
](ddos-advanced-health-checks.md)
+ [

# Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya
](configure-new-protection.md)
+ [

# AWS Shield Advanced Perlindungan pengeditan
](manage-protection.md)
+ [

# Membuat alarm dan notifikasi untuk sumber daya yang dilindungi oleh Shield Advanced
](add-alarm-ddos.md)
+ [

# Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya
](remove-protection.md)
+ [

# Mengelompokkan perlindungan Anda AWS Shield Advanced
](ddos-protection-groups.md)
+ [

# Tracking Shield Perubahan perlindungan sumber daya tingkat lanjut di AWS Config
](ddos-add-config.md)

# Daftar sumber daya yang AWS Shield Advanced melindungi
<a name="ddos-protections-by-resource-type"></a>

Bagian ini memberikan informasi tentang perlindungan Shield Advanced untuk setiap jenis sumber daya. 

Shield Advanced melindungi AWS sumber daya di jaringan dan lapisan transportasi (lapisan 3 dan 4) dan di lapisan aplikasi (lapisan 7). Anda dapat melindungi beberapa sumber daya secara langsung dan lainnya melalui asosiasi dengan sumber daya yang dilindungi. Shield Advanced mendukung IPv4, dan tidak mendukung IPv6.

**catatan**  
Shield Advanced hanya melindungi sumber daya yang telah Anda tentukan di Shield Advanced atau melalui kebijakan AWS Firewall Manager Shield Advanced. Itu tidak secara otomatis melindungi sumber daya Anda.

Anda dapat menggunakan Shield Advanced untuk pemantauan dan perlindungan lanjutan dengan jenis sumber daya berikut:
+  CloudFront Distribusi Amazon. Untuk penerapan CloudFront berkelanjutan, Shield Advanced melindungi distribusi pementasan apa pun yang terkait dengan distribusi primer yang dilindungi. 
+ Amazon Route 53 zona yang dihosting.
+ AWS Global Accelerator akselerator standar.
+ Alamat IP Amazon EC2 Elastic. Shield Advanced melindungi sumber daya yang terkait dengan alamat IP Elastic yang dilindungi. 
+  EC2 Instans Amazon, melalui asosiasi ke alamat IP Amazon EC2 Elastic. 
+ Berikut ini penyeimbang beban Elastic Load Balancing (ELB):
  + Penyeimbang Beban Aplikasi.
  + Penyeimbang Beban Klasik.
  + Network Load Balancers, melalui asosiasi ke alamat IP Amazon EC2 Elastic. 

**catatan**  
Anda tidak dapat menggunakan Shield Advanced untuk melindungi jenis sumber daya lainnya. Misalnya, Anda tidak dapat melindungi akselerator perutean AWS Global Accelerator khusus atau Gateway Load Balancer.

**catatan**  
NAT Gateways hanya menangani lalu lintas keluar, sedangkan Shield Advanced melindungi terhadap inbound S. DDo Untuk perlindungan lalu lintas keluar, gunakan [AWS Network Firewall](https://docs.aws.amazon.com//network-firewall/latest/developerguide/what-is-aws-network-firewall.html).

Anda dapat memantau dan melindungi hingga 1.000 sumber daya untuk setiap jenis sumber daya per Akun AWS. Misalnya, dalam satu akun, Anda dapat melindungi 1.000 alamat IP Amazon EC2 Elastic, 1.000 CloudFront distribusi, dan 1.000 Application Load Balancer. Anda dapat meminta peningkatan jumlah sumber daya yang dapat Anda lindungi dengan Shield Advanced melalui konsol Service Quotas di. [https://console.aws.amazon.com/servicequotas/](https://console.aws.amazon.com/servicequotas/)

# Melindungi EC2 instans Amazon dan Network Load Balancer dengan Shield Advanced
<a name="ddos-protections-ec2-nlb"></a>

Halaman ini menjelaskan cara menggunakan AWS Shield Advanced proteksi untuk EC2 instans Amazon dan Network Load Balancer.

Anda dapat melindungi EC2 instans Amazon dan Network Load Balancer dengan terlebih dahulu melampirkan sumber daya ini ke alamat IP Elastic, lalu melindungi alamat IP Elastis di Shield Advanced.

Saat Anda melindungi alamat IP Elastic, Shield Advanced mengidentifikasi dan melindungi sumber daya yang dilampirkan. Shield Advanced secara otomatis mengidentifikasi jenis sumber daya yang dilampirkan ke alamat IP Elastis dan menerapkan deteksi dan mitigasi yang sesuai untuk sumber daya tersebut. Ini termasuk mengonfigurasi jaringan ACLs yang khusus untuk alamat IP Elastis. Untuk informasi selengkapnya tentang penggunaan alamat IP Elastis dengan AWS sumber daya Anda, lihat panduan berikut: Dokumentasi [Amazon Elastic Compute Cloud atau dokumentasi](https://docs.aws.amazon.com/ec2/) [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/).

Selama serangan, Shield Advanced secara otomatis menyebarkan jaringan Anda ACLs ke perbatasan AWS jaringan. Ketika jaringan Anda ACLs berada di perbatasan jaringan, Shield Advanced dapat memberikan perlindungan terhadap peristiwa DDo S yang lebih besar. Biasanya, jaringan ACLs diterapkan di dekat EC2 instans Amazon Anda dalam VPC Amazon Anda. ACL jaringan dapat mengurangi serangan hanya sebesar yang dapat ditangani oleh VPC dan instans Amazon Anda. Misalnya, jika antarmuka jaringan yang dilampirkan ke EC2 instans Amazon Anda dapat memproses hingga 10 Gbps, maka volume lebih dari 10 Gbps akan melambat dan mungkin memblokir lalu lintas ke instance itu. Selama serangan, Shield Advanced mempromosikan ACL jaringan Anda ke AWS perbatasan, yang dapat memproses beberapa terabyte lalu lintas. ACL jaringan Anda mampu memberikan perlindungan untuk sumber daya Anda jauh di luar kapasitas tipikal jaringan Anda. Untuk informasi selengkapnya tentang jaringan ACLs, lihat [Jaringan ACLs](https://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_ACLs.html). 

Beberapa alat penskalaan, seperti AWS Elastic Beanstalk, tidak membiarkan Anda secara otomatis melampirkan alamat IP Elastis ke Network Load Balancer. Untuk kasus-kasus tersebut, Anda perlu melampirkan alamat IP Elastis secara manual.

# Melindungi lapisan aplikasi (layer 7) dengan AWS Shield Advanced dan AWS WAF
<a name="ddos-app-layer-protections"></a>

Halaman ini menjelaskan bagaimana Shield Advanced dan AWS WAF bekerja sama untuk melindungi sumber daya pada lapisan aplikasi (lapisan 7).

Untuk melindungi sumber daya lapisan aplikasi Anda dengan Shield Advanced, Anda mulai dengan mengaitkan ACL AWS WAF web dengan sumber daya dan menambahkan satu atau beberapa aturan berbasis kecepatan ke dalamnya. Anda juga dapat mengaktifkan mitigasi lapisan DDo S aplikasi otomatis, yang menyebabkan Shield Advanced secara otomatis membuat dan mengelola aturan ACL web atas nama Anda sebagai respons terhadap DDo serangan S. 

Saat Anda melindungi sumber daya lapisan aplikasi dengan Shield Advanced, Shield Advanced menganalisis lalu lintas dari waktu ke waktu untuk menetapkan dan mempertahankan garis dasar. Shield Advanced menggunakan garis dasar ini untuk mendeteksi anomali dalam pola lalu lintas yang mungkin mengindikasikan serangan S. DDo Titik di mana Shield Advanced mendeteksi serangan tergantung pada lalu lintas yang dapat diamati oleh Shield Advanced sebelum serangan dan pada arsitektur yang Anda gunakan untuk aplikasi web Anda. Variasi arsitektur yang dapat memengaruhi perilaku Shield Advanced mencakup jenis instance yang Anda gunakan, ukuran instans, dan apakah jenis instans mendukung jaringan yang disempurnakan. Anda juga dapat mengonfigurasi Shield Advanced untuk secara otomatis menempatkan mitigasi untuk serangan lapisan aplikasi.

**Langganan dan biaya Shield Advanced AWS WAF**  
Langganan Shield Advanced Anda menanggung biaya penggunaan AWS WAF kemampuan standar untuk sumber daya yang Anda lindungi dengan Shield Advanced. AWS WAF Biaya standar yang ditanggung oleh perlindungan Shield Advanced Anda adalah biaya per paket perlindungan (web ACL), biaya per aturan, dan harga dasar per juta permintaan untuk pemeriksaan permintaan web, hingga 1.500 WCUs dan hingga ukuran badan default.

Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis Shield Advanced menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Lihat informasi selengkapnya di [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md), [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).

Langganan Anda ke Shield Advanced tidak mencakup AWS WAF penggunaan sumber daya yang tidak Anda lindungi menggunakan Shield Advanced. Ini juga tidak mencakup AWS WAF biaya non-standar tambahan untuk sumber daya yang dilindungi. Contoh biaya non-standar adalah AWS WAF biaya untuk Kontrol Bot, untuk tindakan CAPTCHA aturan, untuk web ACLs yang menggunakan lebih dari 1.500 WCUs, dan untuk memeriksa badan permintaan di luar ukuran tubuh default. Daftar lengkap disediakan di halaman AWS WAF harga. Langganan Anda ke Shield Advanced mencakup akses ke grup Aturan Terkelola Amazon Anti- DDo S Layer 7. Sebagai bagian dari langganan Anda, Anda akan mendapatkan hingga 50 miliar permintaan ke AWS WAF sumber daya yang dilindungi Shield Advanced dalam satu bulan kalender. Permintaan di atas 50 miliar akan ditagih sesuai halaman AWS Shield Advanced harga.

Untuk informasi selengkapnya dan contoh harga, lihat [Harga dan [AWS WAF Harga](https://aws.amazon.com/waf/pricing/) Shield](https://aws.amazon.com/shield/pricing/).

**Topics**
+ [

# Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced
](ddos-app-layer-detection-mitigation.md)
+ [

# Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced
](ddos-app-layer-web-ACL-and-rbr.md)
+ [

# Melindungi lapisan aplikasi dengan aturan AWS WAF berbasis kecepatan dan Shield Advanced
](ddos-app-layer-rbr.md)
+ [

# Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced
](ddos-automatic-app-layer-response.md)

# Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced
<a name="ddos-app-layer-detection-mitigation"></a>

Bagian ini menjelaskan faktor-faktor yang mempengaruhi deteksi dan mitigasi peristiwa lapisan aplikasi oleh Shield Advanced. 

**Pemeriksaan kondisi**  
Pemeriksaan kesehatan yang secara akurat melaporkan kesehatan keseluruhan aplikasi Anda memberi Shield Advanced informasi tentang kondisi lalu lintas yang dialami aplikasi Anda. Shield Advanced membutuhkan lebih sedikit informasi yang menunjuk ke potensi serangan ketika aplikasi Anda melaporkan tidak sehat dan memerlukan lebih banyak bukti serangan jika aplikasi Anda melaporkan sehat. 

Sangat penting untuk mengkonfigurasi pemeriksaan kesehatan Anda sehingga mereka secara akurat melaporkan kesehatan aplikasi. Untuk informasi dan panduan lebih lanjut, lihat[Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).

**Garis dasar lalu lintas**  
Garis dasar lalu lintas memberikan informasi Shield Advanced tentang karakteristik lalu lintas normal untuk aplikasi Anda. Shield Advanced menggunakan garis dasar ini untuk mengenali kapan aplikasi Anda tidak menerima lalu lintas normal, sehingga dapat memberi tahu Anda dan, seperti yang dikonfigurasi, mulai merancang dan menguji opsi mitigasi untuk melawan potensi serangan. Untuk informasi tambahan tentang cara Shield Advanced menggunakan garis dasar lalu lintas untuk mendeteksi potensi peristiwa, lihat bagian ikhtisar. [Shield Logika deteksi lanjutan untuk ancaman lapisan aplikasi (lapisan 7)](ddos-event-detection-application.md)

Shield Advanced membuat garis dasarnya dari informasi yang disediakan oleh ACL web yang terkait dengan sumber daya yang dilindungi. ACL web harus dikaitkan dengan sumber daya setidaknya selama 24 jam dan hingga 30 hari sebelum Shield Advanced dapat menentukan baseline aplikasi dengan andal. Waktu yang diperlukan dimulai saat Anda mengaitkan ACL web, baik melalui Shield Advanced atau melalui AWS WAF. 

Untuk informasi selengkapnya tentang menggunakan ACL web dengan perlindungan lapisan aplikasi Shield Advanced, lihat. [Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md)

**Aturan berbasis tarif**  
Aturan berbasis tarif dapat membantu mengurangi serangan. Mereka juga dapat mengaburkan serangan, dengan menguranginya sebelum menjadi masalah yang cukup besar untuk muncul melawan garis dasar lalu lintas normal atau dalam pelaporan status pemeriksaan kesehatan. 

Sebaiknya gunakan aturan berbasis tarif di ACL web Anda saat Anda melindungi sumber daya aplikasi dengan Shield Advanced. Meskipun mitigasi mereka dapat mengaburkan serangan potensial, mereka adalah garis pertahanan pertama yang berharga, membantu memastikan bahwa aplikasi Anda tetap tersedia untuk pelanggan sah Anda. Lalu lintas yang dideteksi oleh aturan berbasis tarif dan batas tarif terlihat dalam metrik Anda AWS WAF . 

Selain aturan berbasis tarif Anda sendiri, jika Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis, Shield Advanced menambahkan grup aturan ke ACL web Anda yang digunakan untuk mengurangi serangan. Dalam grup aturan ini, Shield Advanced selalu memiliki aturan berbasis kecepatan yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. Metrik untuk lalu lintas yang dikurangi aturan Shield Advanced tidak tersedia untuk Anda lihat. 

Untuk informasi selengkapnya tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md) Untuk informasi tentang aturan berbasis tarif yang digunakan Shield Advanced untuk mitigasi lapisan DDo S aplikasi otomatis, lihat. [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md)

Untuk informasi selengkapnya tentang Shield Advanced dan AWS WAF metrik, lihat[Pemantauan CloudWatch dengan Amazon](monitoring-cloudwatch.md).

# Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced
<a name="ddos-app-layer-web-ACL-and-rbr"></a>

Halaman ini menjelaskan bagaimana AWS WAF web ACLs dan Shield Advanced bekerja sama untuk membuat perlindungan lapisan aplikasi dasar.

Untuk melindungi sumber daya lapisan aplikasi dengan Shield Advanced, Anda mulai dengan mengaitkan ACL AWS WAF web dengan sumber daya. AWS WAF adalah firewall aplikasi web yang memungkinkan Anda memantau permintaan HTTP dan HTTPS yang diteruskan ke sumber daya lapisan aplikasi Anda, dan memungkinkan Anda mengontrol akses ke konten Anda berdasarkan karakteristik permintaan. Anda dapat mengonfigurasi ACL web untuk memantau dan mengelola permintaan berdasarkan faktor-faktor seperti di mana permintaan berasal, isi string kueri dan cookie, dan tingkat permintaan yang berasal dari satu alamat IP. Minimal, perlindungan Shield Advanced Anda mengharuskan Anda untuk mengaitkan ACL web dengan aturan berbasis tarif, yang membatasi tingkat permintaan untuk setiap alamat IP. 

Jika ACL web terkait tidak memiliki aturan berbasis kecepatan yang ditentukan, Shield Advanced akan meminta Anda untuk menentukan setidaknya satu. Aturan berbasis tarif secara otomatis memblokir lalu lintas dari sumber IPs ketika melebihi ambang batas yang Anda tentukan. Mereka membantu melindungi aplikasi Anda dari banjir permintaan web dan dapat memberikan peringatan tentang lonjakan lalu lintas yang tiba-tiba yang mungkin mengindikasikan potensi serangan S. DDo 

**catatan**  
Aturan berbasis tarif merespons dengan sangat cepat lonjakan lalu lintas yang dipantau oleh aturan tersebut. Karena itu, aturan berbasis kecepatan dapat mencegah tidak hanya serangan, tetapi juga deteksi serangan potensial oleh deteksi Shield Advanced. Trade off ini mendukung pencegahan daripada visibilitas lengkap ke dalam pola serangan. Sebaiknya gunakan aturan berbasis kecepatan sebagai garis pertahanan pertama Anda terhadap serangan. 

Dengan ACL web Anda di tempat, jika serangan DDo S terjadi, Anda menerapkan mitigasi dengan menambahkan dan mengelola aturan di ACL web. Anda dapat melakukan ini secara langsung, dengan bantuan dari Shield Response Team (SRT), atau secara otomatis melalui mitigasi lapisan DDo S aplikasi otomatis. 

**penting**  
Jika Anda juga menggunakan mitigasi lapisan DDo S aplikasi otomatis, lihat praktik terbaik untuk mengelola ACL web Anda di. [Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md) 

Untuk informasi tentang penggunaan AWS WAF untuk mengelola pemantauan permintaan web dan aturan manajemen, lihat[Membuat paket perlindungan (web ACL) di AWS WAF](web-acl-creating.md). 

# Melindungi lapisan aplikasi dengan aturan AWS WAF berbasis kecepatan dan Shield Advanced
<a name="ddos-app-layer-rbr"></a>

Halaman ini menjelaskan bagaimana aturan AWS WAF berbasis kecepatan dan Shield Advanced bekerja sama untuk membuat perlindungan lapisan aplikasi dasar.

Saat Anda menggunakan aturan berbasis tarif dengan konfigurasi defaultnya, evaluasi lalu lintas AWS WAF secara berkala untuk jendela waktu 5 menit sebelumnya. AWS WAF memblokir permintaan dari alamat IP apa pun yang melebihi ambang batas aturan hingga tingkat permintaan turun ke tingkat yang dapat diterima. Saat Anda mengonfigurasi aturan berbasis tarif melalui Shield Advanced, konfigurasikan ambang batas tarifnya ke nilai yang lebih besar dari tingkat lalu lintas normal yang Anda harapkan dari satu IP sumber dalam jangka waktu lima menit. 

Anda mungkin ingin menggunakan lebih dari satu aturan berbasis tarif di ACL web. Misalnya, Anda dapat memiliki satu aturan berbasis tarif untuk semua lalu lintas yang memiliki ambang batas tinggi ditambah satu atau lebih aturan tambahan yang dikonfigurasi agar sesuai dengan bagian tertentu dari aplikasi web Anda dan yang memiliki ambang batas yang lebih rendah. Misalnya, Anda mungkin mencocokkan URI `/login.html` dengan ambang batas yang lebih rendah, untuk mengurangi penyalahgunaan terhadap halaman login. 

Anda dapat mengonfigurasi aturan berbasis laju untuk menggunakan jendela waktu evaluasi yang berbeda dan untuk menggabungkan permintaan dengan sejumlah komponen permintaan, seperti nilai header, label, dan argumen kueri. Untuk informasi selengkapnya, lihat [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md). 

Untuk informasi dan panduan tambahan, lihat posting blog keamanan [Tiga aturan AWS WAF berbasis tarif yang paling penting](https://aws.amazon.com/blogs/security/three-most-important-aws-waf-rate-based-rules/).

**Opsi konfigurasi yang diperluas melalui AWS WAF**  
Konsol Shield Advanced memungkinkan Anda menambahkan aturan berbasis tarif dan mengonfigurasinya dengan pengaturan dasar dan default. Anda dapat menentukan opsi konfigurasi tambahan dengan mengelola aturan berbasis tarif Anda. AWS WAF Misalnya, Anda dapat mengonfigurasi aturan untuk mengumpulkan permintaan berdasarkan kunci seperti alamat IP yang diteruskan, string kueri, dan label. Anda juga dapat menambahkan pernyataan cakupan ke bawah aturan untuk menyaring beberapa permintaan dari evaluasi dan pembatasan tarif. Lihat informasi yang lebih lengkap di [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md). 

# Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced
<a name="ddos-automatic-app-layer-response"></a>

**catatan**  
Mulai 26 Maret 2026, Grup Aturan Terkelola Anti DDo S (anti-DDoS AMR) untuk AWS WAF menjadi solusi default untuk perlindungan terhadap serangan banjir permintaan HTTP (lihat blog peluncuran [Anti- DDo S AMR](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-the-aws-waf-application-layer-ddos-protection/)). Ini menggantikan fitur Layer 7 Auto Mitigation (L7AM). Jika Anda adalah pelanggan Shield Advanced yang sudah ada, Anda dapat terus menggunakan solusi lama dengan AWS akun yang ada atau yang baru. Namun, kami mendorong Anda untuk mengadopsi Grup Aturan Terkelola Anti DDo S. Grup Aturan Terkelola Anti DDo S mendeteksi dan mengurangi serangan dalam hitungan detik, bukan menit. Jika Anda adalah pelanggan baru Shield Advanced dan memerlukan akses ke solusi lama, hubungi AWS Support.

Halaman ini memperkenalkan topik mitigasi lapisan aplikasi DDo S otomatis dan daftar peringatan terkait.

Anda dapat mengonfigurasi Shield Advanced untuk merespons secara otomatis untuk mengurangi serangan lapisan aplikasi (lapisan 7) terhadap sumber daya lapisan aplikasi Anda yang dilindungi, dengan menghitung atau memblokir permintaan web yang merupakan bagian dari serangan. Opsi ini merupakan tambahan untuk perlindungan lapisan aplikasi yang Anda tambahkan melalui Shield Advanced dengan ACL AWS WAF web dan aturan berbasis tarif Anda sendiri. 

Saat mitigasi otomatis diaktifkan untuk sumber daya, Shield Advanced mempertahankan grup aturan di ACL web terkait sumber daya tempat ia mengelola aturan mitigasi atas nama sumber daya. Grup aturan berisi aturan berbasis tarif yang melacak volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. 

Selain itu, Shield Advanced membandingkan pola lalu lintas saat ini dengan garis dasar lalu lintas bersejarah untuk mendeteksi penyimpangan yang mungkin mengindikasikan serangan S. DDo Shield Advanced merespons serangan DDo S yang terdeteksi dengan membuat, mengevaluasi, dan menerapkan AWS WAF aturan khusus tambahan dalam grup aturan. 

## Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-caveats"></a>

Daftar berikut menjelaskan peringatan mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, dan menjelaskan langkah-langkah yang mungkin ingin Anda ambil sebagai tanggapan.
+ Mitigasi lapisan aplikasi DDo S otomatis hanya berfungsi dengan paket perlindungan (web ACLs) yang dibuat menggunakan versi terbaru AWS WAF (v2). 
+ Shield Advanced membutuhkan waktu untuk menetapkan garis dasar lalu lintas normal dan historis aplikasi Anda, yang dimanfaatkannya untuk mendeteksi dan mengisolasi lalu lintas serangan dari lalu lintas normal, untuk mengurangi lalu lintas serangan. Waktu untuk menetapkan baseline adalah antara 24 jam dan 30 hari sejak Anda mengaitkan ACL web dengan sumber daya aplikasi yang dilindungi. Untuk informasi tambahan tentang garis dasar lalu lintas, lihat. [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Mengaktifkan mitigasi lapisan aplikasi DDo S otomatis menambahkan grup aturan ke paket perlindungan Anda (web ACL) yang menggunakan 150 unit kapasitas ACL web (). WCUs Ini WCUs dihitung terhadap penggunaan WCU dalam paket perlindungan Anda (web ACL). Untuk informasi selengkapnya, lihat [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md), dan [Unit kapasitas ACL Web (WCUs) di AWS WAF](aws-waf-capacity-units.md).
+ Grup aturan Shield Advanced menghasilkan AWS WAF metrik, tetapi tidak tersedia untuk dilihat. Ini sama dengan grup aturan lain yang Anda gunakan dalam paket perlindungan (web ACL) tetapi tidak dimiliki, seperti grup aturan Aturan AWS Terkelola. Untuk informasi selengkapnya tentang AWS WAF metrik, lihat[AWS WAF metrik dan dimensi](waf-metrics.md). Untuk informasi tentang opsi perlindungan Shield Advanced ini, lihat[Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](#ddos-automatic-app-layer-response). 
+ Untuk web ACLs yang melindungi banyak sumber daya, mitigasi otomatis hanya menerapkan mitigasi khusus yang tidak berdampak negatif terhadap sumber daya yang dilindungi. 
+ Waktu antara dimulainya serangan DDo S dan ketika Shield Advanced menempatkan aturan mitigasi otomatis kustom bervariasi dengan setiap peristiwa. Beberapa serangan DDo S mungkin berakhir sebelum aturan khusus diterapkan. Serangan lain mungkin terjadi ketika mitigasi sudah ada, dan mungkin dikurangi dengan aturan tersebut sejak awal acara. Selain itu, aturan berbasis tarif di grup aturan ACL dan Shield Advanced web dapat mengurangi lalu lintas serangan sebelum terdeteksi sebagai peristiwa yang mungkin terjadi. 
+ Untuk Application Load Balancer yang menerima lalu lintas apa pun melalui jaringan pengiriman konten (CDN), seperti Amazon CloudFront, kemampuan mitigasi otomatis lapisan aplikasi dari Shield Advanced untuk sumber daya Application Load Balancer tersebut akan berkurang. Shield Advanced menggunakan atribut lalu lintas klien untuk mengidentifikasi dan mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda, dan CDNs mungkin tidak mempertahankan atau meneruskan atribut lalu lintas klien asli. Jika Anda menggunakan CloudFront, kami sarankan mengaktifkan mitigasi otomatis pada distribusi. CloudFront 
+ Mitigasi lapisan aplikasi DDo S otomatis tidak berinteraksi dengan kelompok perlindungan. Anda dapat mengaktifkan mitigasi otomatis untuk sumber daya yang ada di grup perlindungan, tetapi Shield Advanced tidak secara otomatis menerapkan mitigasi serangan berdasarkan temuan kelompok perlindungan. Shield Advanced menerapkan mitigasi serangan otomatis untuk sumber daya individu.

**Contents**
+ [

## Peringatan untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
](#ddos-automatic-app-layer-response-caveats)
+ [

# Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
](ddos-automatic-app-layer-response-bp.md)
+ [

# Mengaktifkan mitigasi lapisan DDo S aplikasi otomatis
](ddos-automatic-app-layer-response-config.md)
  + [

## Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis
](ddos-automatic-app-layer-response-config.md#ddos-automatic-app-layer-response-enable)
+ [

# Bagaimana Shield Advanced mengelola mitigasi otomatis
](ddos-automatic-app-layer-response-behavior.md)
  + [

## Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis
](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-ddos-attack)
  + [

## Bagaimana Shield Advanced mengelola pengaturan tindakan aturan
](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action)
  + [

## Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda
](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-after-attack)
  + [

## Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis
](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-disable)
+ [

# Melindungi layer aplikasi dengan grup aturan Shield Advanced
](ddos-automatic-app-layer-response-rg.md)
+ [

# Melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya
](view-automatic-app-layer-response-configuration.md)
+ [

# Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo
](enable-disable-automatic-app-layer-response.md)
+ [

# Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis
](change-action-of-automatic-app-layer-response.md)
+ [

# Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis
](manage-automatic-mitigation-in-cfn.md)

# Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-bp"></a>

Patuhi panduan yang disediakan di bagian ini saat Anda menggunakan mitigasi otomatis.

**Manajemen perlindungan umum**  
Ikuti panduan ini untuk merencanakan dan menerapkan perlindungan mitigasi otomatis Anda.
+ Kelola semua perlindungan mitigasi otomatis Anda baik melalui Shield Advanced atau, jika Anda menggunakannya AWS Firewall Manager untuk mengelola pengaturan mitigasi otomatis Shield Advanced, melalui Firewall Manager. Jangan mencampur penggunaan Shield Advanced dan Firewall Manager untuk mengelola perlindungan ini.
+ Kelola sumber daya serupa menggunakan pengaturan web ACLs dan perlindungan yang sama, dan kelola sumber daya yang berbeda menggunakan web ACLs yang berbeda. Ketika Shield Advanced mengurangi serangan DDo S pada sumber daya yang dilindungi, ia mendefinisikan aturan untuk ACL web yang terkait dengan sumber daya dan kemudian menguji aturan terhadap lalu lintas semua sumber daya yang terkait dengan ACL web. Shield Advanced hanya akan menerapkan aturan jika aturan tersebut tidak berdampak negatif terhadap sumber daya terkait. Untuk informasi selengkapnya, lihat [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).
+ Untuk Application Load Balancer yang memiliki semua lalu lintas internet mereka diproksi melalui CloudFront distribusi Amazon, hanya aktifkan mitigasi otomatis pada distribusi. CloudFront CloudFront Distribusi akan selalu memiliki jumlah atribut lalu lintas asli terbesar, yang dimanfaatkan Shield Advanced untuk mengurangi serangan. 

**Pengoptimalan deteksi dan mitigasi**  
Ikuti panduan ini untuk mengoptimalkan perlindungan yang diberikan mitigasi otomatis terhadap sumber daya yang dilindungi. Untuk ikhtisar deteksi dan mitigasi lapisan aplikasi, lihat. [Daftar faktor yang memengaruhi deteksi dan mititgasi peristiwa lapisan aplikasi dengan Shield Advanced](ddos-app-layer-detection-mitigation.md)
+ Konfigurasikan pemeriksaan kesehatan untuk sumber daya yang dilindungi dan gunakan untuk mengaktifkan deteksi berbasis kesehatan di perlindungan Shield Advanced Anda. Untuk panduan, lihat [Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53](ddos-advanced-health-checks.md).
+ Aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced menetapkan garis dasar untuk lalu lintas normal dan bersejarah. Shield Advanced membutuhkan dari 24 jam hingga 30 hari untuk menetapkan baseline. 

  Menetapkan dasar pola lalu lintas normal membutuhkan hal-hal berikut: 
  + Asosiasi ACL web dengan sumber daya yang dilindungi. Anda dapat menggunakan AWS WAF langsung untuk mengaitkan ACL web Anda atau Anda dapat meminta Shield Advanced mengaitkannya saat Anda mengaktifkan perlindungan lapisan aplikasi Shield Advanced dan menentukan ACL web yang akan digunakan. 
  + Arus lalu lintas normal ke aplikasi Anda yang dilindungi. Jika aplikasi Anda tidak mengalami lalu lintas normal, seperti sebelum aplikasi diluncurkan atau jika tidak memiliki lalu lintas produksi untuk jangka waktu yang lama, data historis tidak dapat dikumpulkan.

**Manajemen ACL web**  
Ikuti panduan ini untuk mengelola web ACLs yang Anda gunakan dengan mitigasi otomatis.
+ Jika Anda perlu mengganti ACL web yang terkait dengan sumber daya yang dilindungi, buat perubahan berikut secara berurutan: 

  1. Di Shield Advanced, nonaktifkan mitigasi otomatis. 

  1. Di AWS WAF, pisahkan ACL web lama dan kaitkan ACL web baru. 

  1. Di Shield Advanced, aktifkan mitigasi otomatis. 

  Shield Advanced tidak secara otomatis mentransfer mitigasi otomatis dari ACL web lama ke yang baru. 
+ Jangan hapus aturan grup aturan apa pun dari web Anda ACLs yang namanya dimulai`ShieldMitigationRuleGroup`. Jika Anda menghapus grup aturan ini, Anda menonaktifkan perlindungan yang disediakan oleh mitigasi otomatis Shield Advanced untuk setiap sumber daya yang terkait dengan ACL web. Selain itu, diperlukan Shield Advanced beberapa waktu untuk menerima pemberitahuan perubahan dan memperbarui pengaturannya. Selama waktu ini, halaman konsol Shield Advanced akan memberikan informasi yang salah. 

  Untuk informasi selengkapnya tentang grup aturan, lihat[Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md). 
+ Jangan mengubah nama aturan grup aturan yang namanya dimulai dengan`ShieldMitigationRuleGroup`. Melakukannya dapat mengganggu perlindungan yang diberikan oleh mitigasi otomatis Shield Advanced melalui ACL web. 
+ Saat Anda membuat aturan dan grup aturan, jangan gunakan nama yang dimulai dengan`ShieldMitigationRuleGroup`. String ini digunakan oleh Shield Advanced untuk mengelola mitigasi otomatis Anda. 
+ Dalam pengelolaan aturan ACL web Anda, jangan tetapkan pengaturan prioritas 10.000.000. Shield Advanced menetapkan pengaturan prioritas ini ke aturan grup aturan mitigasi otomatis saat menambahkannya. 
+ Pertahankan `ShieldMitigationRuleGroup` aturan yang diprioritaskan sehingga berjalan ketika Anda menginginkannya sehubungan dengan aturan lain di ACL web Anda. Shield Advanced menambahkan aturan grup aturan ke ACL web dengan prioritas 10.000.000, untuk menjalankan aturan Anda yang lain. Jika Anda menggunakan wizard AWS WAF konsol untuk mengelola ACL web Anda, sesuaikan pengaturan prioritas sesuai kebutuhan setelah Anda menambahkan aturan ke ACL web. 
+ Jika Anda menggunakan AWS CloudFormation untuk mengelola web Anda ACLs, Anda tidak perlu mengelola `ShieldMitigationRuleGroup` aturan grup aturan. Ikuti bimbingan di[Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis](manage-automatic-mitigation-in-cfn.md).

# Mengaktifkan mitigasi lapisan DDo S aplikasi otomatis
<a name="ddos-automatic-app-layer-response-config"></a>

Halaman ini menjelaskan cara mengkonfigurasi Shield Advanced untuk secara otomatis merespons serangan lapisan aplikasi.

Anda mengaktifkan mitigasi otomatis Shield Advanced sebagai bagian dari perlindungan lapisan aplikasi DDo S untuk sumber daya Anda. Untuk informasi tentang melakukan ini melalui konsol, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection).

Fungsionalitas mitigasi otomatis mengharuskan Anda melakukan hal berikut:
+ **Kaitkan ACL web dengan sumber daya** — Ini diperlukan untuk perlindungan lapisan aplikasi Shield Advanced. Anda dapat menggunakan ACL web yang sama untuk beberapa sumber daya. Kami merekomendasikan melakukan ini hanya untuk sumber daya yang memiliki lalu lintas serupa. Untuk informasi tentang webACLs, termasuk persyaratan untuk menggunakannya dengan beberapa sumber daya, lihat[Bagaimana cara AWS WAF kerja](how-aws-waf-works.md).
+ **Aktifkan dan konfigurasikan mitigasi DDo S lapisan aplikasi otomatis Shield Advanced** — Saat Anda mengaktifkan ini, Anda menentukan apakah Anda ingin Shield Advanced memblokir atau menghitung permintaan web secara otomatis yang ditentukan sebagai bagian dari serangan DDo S. Shield Advanced menambahkan grup aturan ke ACL web terkait dan menggunakannya untuk mengelola responsnya secara dinamis terhadap serangan DDo S pada sumber daya. Untuk informasi tentang opsi tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).
+ **(Opsional, tetapi disarankan) Tambahkan aturan berbasis tarif ke ACL web** — Secara default, aturan berbasis tarif menyediakan sumber daya Anda dengan perlindungan dasar terhadap serangan DDo S dengan mencegah alamat IP individual mengirim terlalu banyak permintaan dalam waktu singkat. Untuk informasi tentang aturan berbasis tarif, termasuk opsi dan contoh agregasi permintaan kustom, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

## Apa yang terjadi ketika Anda mengaktifkan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-enable"></a>

Shield Advanced melakukan hal berikut ketika Anda mengaktifkan mitigasi otomatis: 
+ Jika **diperlukan, tambahkan grup aturan untuk penggunaan Shield Advanced** — Jika ACL AWS WAF web yang Anda kaitkan dengan sumber daya belum memiliki AWS WAF aturan grup aturan yang didedikasikan untuk mitigasi lapisan DDo S aplikasi otomatis, Shield Advanced menambahkannya. 

  Nama aturan grup aturan dimulai dengan`ShieldMitigationRuleGroup`. Grup aturan selalu berisi aturan berbasis tingkat bernama`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. Untuk detail tambahan tentang grup aturan Shield Advanced dan aturan ACL web yang mereferensikannya, lihat[Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md).
+ **Mulai merespons serangan DDo S terhadap sumber daya** — Shield Advanced secara otomatis merespons serangan DDo S untuk sumber daya yang dilindungi. Selain aturan berbasis tarif, yang selalu ada, Shield Advanced menggunakan grup aturannya untuk menerapkan AWS WAF aturan khusus untuk mitigasi serangan DDo S. Shield Advanced menyesuaikan aturan ini dengan aplikasi Anda dan serangan yang dialami aplikasi Anda, dan mengujinya terhadap lalu lintas historis sumber daya sebelum menerapkannya. 

Shield Advanced menggunakan aturan grup aturan tunggal di ACL web apa pun yang Anda gunakan untuk mitigasi otomatis. Jika Shield Advanced telah menambahkan grup aturan untuk sumber daya lain yang dilindungi, itu tidak menambahkan grup aturan lain ke ACL web. 

Mitigasi lapisan aplikasi DDo S otomatis tergantung pada keberadaan kelompok aturan untuk mengurangi serangan. Jika grup aturan dihapus dari ACL AWS WAF web karena alasan apa pun, penghapusan menonaktifkan mitigasi otomatis untuk semua sumber daya yang terkait dengan ACL web.

# Bagaimana Shield Advanced mengelola mitigasi otomatis
<a name="ddos-automatic-app-layer-response-behavior"></a>

Topik di bagian ini menjelaskan bagaimana Shield Advanced menangani perubahan konfigurasi Anda untuk mitigasi lapisan DDo S aplikasi otomatis dan cara menangani serangan DDo S saat mitigasi otomatis diaktifkan. 

**Topics**
+ [

## Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis
](#ddos-automatic-app-layer-response-ddos-attack)
+ [

## Bagaimana Shield Advanced mengelola pengaturan tindakan aturan
](#ddos-automatic-app-layer-response-rule-action)
+ [

## Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda
](#ddos-automatic-app-layer-response-after-attack)
+ [

## Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis
](#ddos-automatic-app-layer-response-disable)

## Bagaimana Shield Advanced merespons serangan DDo S dengan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-ddos-attack"></a>

Bila Anda mengaktifkan mitigasi otomatis pada sumber daya yang dilindungi, aturan berbasis laju di `ShieldKnownOffenderIPRateBasedRule` grup aturan Shield Advanced merespons secara otomatis volume lalu lintas yang meningkat dari sumber S yang diketahui. DDo Pembatasan kecepatan ini diterapkan dengan cepat dan bertindak sebagai pertahanan garis depan terhadap serangan. 

Ketika Shield Advanced mendeteksi serangan, ia melakukan hal berikut:

1. Mencoba mengidentifikasi tanda tangan serangan yang mengisolasi lalu lintas serangan dari lalu lintas normal ke aplikasi Anda. Tujuannya adalah untuk menghasilkan aturan mitigasi DDo S berkualitas tinggi yang, ketika ditempatkan, hanya memengaruhi lalu lintas serangan dan tidak memengaruhi lalu lintas normal ke aplikasi Anda.

1. Mengevaluasi tanda tangan serangan yang diidentifikasi terhadap pola lalu lintas historis untuk sumber daya yang diserang serta untuk sumber daya lain yang terkait dengan ACL web yang sama. Shield Advanced melakukan ini sebelum menerapkan aturan apa pun sebagai respons terhadap acara tersebut. 

   Bergantung pada hasil evaluasi, Shield Advanced melakukan salah satu hal berikut: 
   + Jika Shield Advanced menentukan bahwa tanda tangan serangan hanya mengisolasi lalu lintas yang terlibat dalam serangan DDo S, itu mengimplementasikan tanda tangan dalam AWS WAF aturan dalam grup aturan mitigasi Shield Advanced di ACL web. Shield Advanced memberikan aturan ini setelan tindakan yang telah Anda konfigurasikan untuk mitigasi otomatis sumber daya - salah satu atauCount. Block
   + Jika tidak, Shield Advanced tidak menempatkan mitigasi.

Selama serangan, Shield Advanced mengirimkan notifikasi yang sama dan memberikan informasi acara yang sama seperti untuk perlindungan lapisan aplikasi Shield Advanced dasar. Anda dapat melihat informasi tentang peristiwa dan serangan DDo S, dan tentang mitigasi Shield Advanced untuk serangan, di konsol acara Shield Advanced. Untuk informasi, lihat [Visibilitas ke acara DDo S dengan Shield Advanced](ddos-viewing-events.md). 

Jika Anda telah mengonfigurasi mitigasi otomatis untuk menggunakan tindakan Block aturan dan Anda mengalami kesalahan positif dari aturan mitigasi yang telah diterapkan Shield Advanced, Anda dapat mengubah tindakan aturan menjadi. Count Untuk informasi tentang cara ini, lihat[Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis](change-action-of-automatic-app-layer-response.md). 

## Bagaimana Shield Advanced mengelola pengaturan tindakan aturan
<a name="ddos-automatic-app-layer-response-rule-action"></a>

Anda dapat mengatur tindakan aturan untuk mitigasi otomatis Anda ke atau. Block Count 

Saat Anda mengubah setelan tindakan aturan mitigasi otomatis untuk sumber daya yang dilindungi, Shield Advanced memperbarui semua setelan aturan untuk sumber daya. Ini memperbarui aturan apa pun yang saat ini ada untuk sumber daya di grup aturan Shield Advanced dan menggunakan setelan tindakan baru saat membuat aturan baru. 

Untuk sumber daya yang menggunakan ACL web yang sama, jika Anda menentukan tindakan yang berbeda, Shield Advanced menggunakan setelan Block tindakan untuk aturan berbasis laju grup aturan. `ShieldKnownOffenderIPRateBasedRule` Shield Advanced membuat dan mengelola aturan lain dalam grup aturan atas nama sumber daya tertentu yang dilindungi, dan menggunakan setelan tindakan yang telah Anda tentukan untuk sumber daya tersebut. Semua aturan dalam grup aturan Shield Advanced di ACL web diterapkan pada lalu lintas web dari semua sumber daya terkait. 

Mengubah pengaturan tindakan dapat memakan waktu beberapa detik untuk menyebar. Selama waktu ini, Anda mungkin melihat pengaturan lama di beberapa tempat di mana grup aturan sedang digunakan, dan pengaturan baru di tempat lain. 

Anda dapat mengubah pengaturan tindakan aturan untuk konfigurasi mitigasi otomatis di halaman peristiwa konsol, dan melalui halaman konfigurasi lapisan aplikasi. Untuk informasi tentang halaman acara, lihat[Menanggapi peristiwa DDo S di AWS](ddos-responding.md). Untuk informasi tentang halaman konfigurasi, lihat[Konfigurasikan perlindungan lapisan DDo S aplikasi](manage-protection.md#configure-app-layer-protection).

## Bagaimana Shield Advanced mengelola mitigasi saat serangan mereda
<a name="ddos-automatic-app-layer-response-after-attack"></a>

Ketika Shield Advanced menentukan bahwa aturan mitigasi yang digunakan untuk serangan tertentu tidak lagi diperlukan, itu akan menghapusnya dari grup aturan mitigasi Shield Advanced. 

Penghapusan aturan mitigasi tidak selalu bertepatan dengan akhir serangan. Shield Advanced memantau pola serangan yang dideteksi pada sumber daya Anda yang dilindungi. Ini mungkin secara proaktif bertahan terhadap terulangnya serangan dengan tanda tangan tertentu dengan menjaga aturan yang telah dikerahkan terhadap kejadian awal serangan itu di tempat. Sesuai kebutuhan, Shield Advanced meningkatkan jendela waktu agar aturan tetap berlaku. Dengan cara ini, Shield Advanced dapat mengurangi serangan berulang dengan tanda tangan tertentu sebelum memengaruhi sumber daya Anda yang dilindungi. 

Shield Advanced tidak pernah menghapus aturan berbasis kecepatan`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan DDo S. 

## Apa yang terjadi ketika Anda menonaktifkan mitigasi otomatis
<a name="ddos-automatic-app-layer-response-disable"></a>

Shield Advanced melakukan hal berikut saat Anda menonaktifkan mitigasi otomatis untuk sumber daya: 
+ **Berhenti merespons serangan DDo S secara otomatis** — Shield Advanced menghentikan aktivitas respons otomatisnya untuk sumber daya.
+ **Menghapus aturan yang tidak diperlukan dari grup aturan Shield Advanced** — Jika Shield Advanced mempertahankan aturan apa pun dalam grup aturan terkelolanya atas nama sumber daya yang dilindungi, aturan tersebut akan menghapusnya. 
+ **Menghapus grup aturan Shield Advanced, jika tidak lagi digunakan** — Jika ACL web yang Anda kaitkan dengan sumber daya tidak terkait dengan sumber daya lain yang mengaktifkan mitigasi otomatis, Shield Advanced menghapus aturan grup aturannya dari ACL web. 

# Melindungi layer aplikasi dengan grup aturan Shield Advanced
<a name="ddos-automatic-app-layer-response-rg"></a>

Halaman ini menjelaskan cara kerja grup aturan Shield Advanced di ACL web Anda.

Shield Advanced mengelola aktivitas mitigasi otomatis menggunakan aturan dalam grup aturan yang dimiliki dan dikelola untuk Anda. Shield Advanced mereferensikan grup aturan dengan aturan di ACL web yang telah Anda kaitkan dengan sumber daya yang dilindungi. 

**Aturan grup aturan di ACL web Anda**  
Aturan grup aturan Shield Advanced di ACL web Anda memiliki properti berikut:
+ **Nama** – `ShieldMitigationRuleGroup``_account-id_web-acl-id_unique-identifier`
+ **Unit kapasitas ACL Web (WCU) - 150**. Ini WCUs dihitung terhadap penggunaan WCU di ACL web Anda. 

Shield Advanced membuat aturan ini di ACL web Anda dengan pengaturan prioritas 10.000.000, sehingga berjalan setelah aturan dan grup aturan Anda yang lain di ACL web. AWS WAF menjalankan aturan di ACL web dari pengaturan prioritas numerik terendah di atas. Selama pengelolaan ACL web Anda, pengaturan prioritas ini mungkin berubah. 

Fungsionalitas mitigasi otomatis tidak menggunakan AWS WAF sumber daya tambahan apa pun di akun Anda, selain yang WCUs digunakan oleh grup aturan di ACL web Anda. Misalnya, grup aturan Shield Advanced tidak dihitung sebagai salah satu grup aturan akun Anda. Untuk informasi tentang batas akun di AWS WAF, lihat[AWS WAF kuota](limits.md).

**Aturan dalam kelompok aturan**  
Dalam grup aturan Shield Advanced yang direferensikan, Shield Advanced mempertahankan aturan berbasis kecepatan`ShieldKnownOffenderIPRateBasedRule`, yang membatasi volume permintaan dari alamat IP yang dikenal sebagai sumber serangan S. DDo Aturan ini berfungsi sebagai garis pertahanan pertama terhadap serangan apa pun, karena selalu ada dalam kelompok aturan dan tidak bergantung pada analisis pola lalu lintas untuk menahan serangan. Tindakan aturan ini diatur ke tindakan yang Anda pilih untuk mitigasi otomatis, seperti aturan lain dalam grup aturan. Untuk informasi tentang aturan berbasis tarif, lihat. [Menggunakan pernyataan aturan berbasis tarif di AWS WAF](waf-rule-statement-type-rate-based.md)

**catatan**  
Aturan berbasis tarif `ShieldKnownOffenderIPRateBasedRule` beroperasi secara independen dari deteksi peristiwa Shield Advanced. Sementara mitigasi otomatis diaktifkan, tingkat aturan ini membatasi alamat IP yang dikenal sebagai sumber serangan DDo S. Untuk alamat IP ini, pembatasan laju aturan dapat mencegah serangan dan juga mencegah serangan muncul di informasi deteksi Shield Advanced. Trade off ini mendukung pencegahan daripada visibilitas lengkap ke dalam pola serangan. 

Selain aturan berbasis tarif permanen yang dijelaskan di atas, grup aturan berisi aturan apa pun yang saat ini digunakan Shield Advanced untuk mengurangi serangan S DDo. Shield Advanced menambahkan, memodifikasi, dan menghapus aturan ini sesuai kebutuhan. Untuk informasi, lihat [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).

**Metrik-metrik**  
Grup aturan menghasilkan AWS WAF metrik, tetapi karena grup aturan ini dimiliki oleh Shield Advanced, metrik ini tidak tersedia untuk dilihat. Lihat informasi yang lebih lengkap di [AWS WAF metrik dan dimensi](waf-metrics.md).

# Melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya
<a name="view-automatic-app-layer-response-configuration"></a>

Anda dapat melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis untuk sumber daya di halaman Sumber **daya yang dilindungi** dan di halaman perlindungan individual. 

**Untuk melihat konfigurasi mitigasi lapisan aplikasi DDo S otomatis**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**. Dalam daftar sumber daya yang dilindungi, kolom Mitigasi **lapisan aplikasi otomatis DDo S menunjukkan apakah mitigasi** otomatis diaktifkan dan, jika diaktifkan, tindakan yang akan digunakan Shield Advanced dalam mitigasinya. 

   Anda juga dapat memilih sumber daya lapisan aplikasi apa pun untuk melihat informasi yang sama yang tercantum di halaman perlindungan untuk sumber daya. 

# Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo
<a name="enable-disable-automatic-app-layer-response"></a>

Prosedur berikut menunjukkan cara mengaktifkan atau menonaktifkan respons otomatis untuk sumber daya yang dilindungi. 

**Untuk mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi DDo S otomatis untuk satu sumber daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Protections**, pilih sumber daya lapisan aplikasi yang ingin Anda aktifkan mitigasi otomatis. Halaman perlindungan terbuka untuk sumber daya. 

1. Di halaman perlindungan sumber daya, pilih **Edit**. 

1. Di halaman **Konfigurasikan mitigasi lapisan 7 DDo S untuk sumber daya global - *opsional***, untuk **Mitigasi lapisan aplikasi DDo S otomatis**, pilih opsi yang ingin Anda gunakan untuk mitigasi otomatis. Opsi di konsol adalah sebagai berikut: 
   + **Pertahankan pengaturan saat ini** — Jangan membuat perubahan pada pengaturan mitigasi otomatis dari sumber daya yang dilindungi. 
   + **Aktifkan** - Aktifkan mitigasi otomatis untuk sumber daya yang dilindungi. Saat Anda memilih ini, pilih juga tindakan aturan yang Anda inginkan untuk digunakan mitigasi otomatis dalam aturan ACL web. Untuk informasi tentang pengaturan tindakan aturan, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md).

     Jika sumber daya yang dilindungi belum memiliki riwayat lalu lintas aplikasi normal, aktifkan mitigasi otomatis dalam Count mode hingga Shield Advanced dapat membuat baseline. Shield Advanced mulai mengumpulkan informasi untuk baseline ketika Anda mengaitkan ACL web dengan sumber daya yang dilindungi, dan dapat memakan waktu 24 jam hingga 30 hari untuk menetapkan garis dasar lalu lintas normal yang baik.
   + **Nonaktifkan** - Nonaktifkan mitigasi otomatis untuk sumber daya yang dilindungi. 

1. Berjalanlah melalui sisa halaman sampai Anda selesai dan simpan konfigurasi. 

Di halaman **Perlindungan**, pengaturan mitigasi otomatis diperbarui untuk sumber daya.

# Mengubah tindakan yang digunakan untuk mitigasi lapisan DDo S aplikasi otomatis
<a name="change-action-of-automatic-app-layer-response"></a>

Anda dapat mengubah tindakan yang digunakan Shield Advanced untuk respons otomatis lapisan aplikasinya di beberapa lokasi di konsol:
+ **Konfigurasi mitigasi otomatis** — Ubah tindakan saat Anda mengonfigurasi mitigasi otomatis untuk sumber daya Anda. Untuk prosedurnya, lihat bagian sebelumnya. [Mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi S otomatis DDo](enable-disable-automatic-app-layer-response.md)
+ **Halaman detail acara** — Ubah tindakan di halaman detail acara, saat Anda melihat informasi acara di konsol. Untuk informasi, lihat [Melihat detail AWS Shield Advanced acara](ddos-event-details.md).

Jika Anda memiliki dua sumber daya terlindungi yang berbagi ACL web, dan Anda menetapkan tindakan Count untuk satu dan Block yang lain, Shield Advanced akan menetapkan tindakan untuk aturan berbasis laju grup aturan. `ShieldKnownOffenderIPRateBasedRule` Block

# Menggunakan AWS CloudFormation dengan mitigasi lapisan DDo S aplikasi otomatis
<a name="manage-automatic-mitigation-in-cfn"></a>

Halaman ini menjelaskan cara menggunakan CloudFormation untuk mengelola perlindungan dan AWS WAF web ACLs Anda. 

**Mengaktifkan atau menonaktifkan mitigasi lapisan aplikasi S otomatis DDo**  
Anda dapat mengaktifkan dan menonaktifkan mitigasi lapisan aplikasi DDo S otomatis melalui AWS CloudFormation, menggunakan sumber daya. `AWS::Shield::Protection` Efeknya sama seperti ketika Anda mengaktifkan atau menonaktifkan fitur melalui konsol atau antarmuka lainnya. Untuk informasi tentang CloudFormation sumber daya, lihat [AWS::Shield::Protection](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-shield-protection.html)di *panduan AWS CloudFormation pengguna*.

**Mengelola web ACLs yang digunakan dengan mitigasi otomatis**  
Shield Advanced mengelola mitigasi otomatis untuk sumber daya yang dilindungi menggunakan aturan grup aturan di ACL AWS WAF web sumber daya yang dilindungi. Melalui AWS WAF konsol dan APIs, Anda akan melihat aturan yang tercantum dalam aturan ACL web Anda, dengan nama yang dimulai dengan`ShieldMitigationRuleGroup`. Aturan ini didedikasikan untuk mitigasi lapisan DDo S aplikasi otomatis Anda dan dikelola untuk Anda oleh Shield Advanced dan. AWS WAF Untuk informasi selengkapnya, lihat [Melindungi layer aplikasi dengan grup aturan Shield Advanced](ddos-automatic-app-layer-response-rg.md) dan [Bagaimana Shield Advanced mengelola mitigasi otomatis](ddos-automatic-app-layer-response-behavior.md).

Jika Anda menggunakannya CloudFormation untuk mengelola web ACLs, jangan tambahkan aturan grup aturan Shield Advanced ke template ACL web Anda. Saat Anda memperbarui ACL web yang digunakan dengan perlindungan mitigasi otomatis, AWS WAF secara otomatis mengelola aturan grup aturan di ACL web. 

Anda akan melihat perbedaan berikut dibandingkan dengan web lain ACLs yang Anda kelola melalui CloudFormation:
+ CloudFormation tidak akan melaporkan penyimpangan apa pun dalam status stack drift antara konfigurasi ACL web yang sebenarnya, dengan aturan grup aturan Shield Advanced, dan template ACL web Anda, tanpa aturan. Aturan Shield Advanced tidak akan muncul di daftar sebenarnya untuk sumber daya dalam detail drift. 

  Anda akan dapat melihat aturan grup aturan Shield Advanced dalam daftar ACL web yang Anda ambil AWS WAF, seperti melalui AWS WAF konsol atau. AWS WAF APIs
+ Jika Anda memodifikasi template ACL web dalam tumpukan, AWS WAF dan Shield Advanced secara otomatis mempertahankan aturan mitigasi otomatis Shield Advanced di ACL web yang diperbarui. Perlindungan mitigasi otomatis yang disediakan oleh Shield Advanced tidak terganggu oleh pembaruan Anda ke ACL web.

Jangan mengelola aturan Shield Advanced di template ACL CloudFormation web Anda. Template ACL web tidak boleh mencantumkan aturan Shield Advanced. Ikuti praktik terbaik untuk manajemen ACL web di[Praktik terbaik untuk menggunakan mitigasi lapisan DDo S aplikasi otomatis](ddos-automatic-app-layer-response-bp.md).

# Deteksi berbasis kesehatan menggunakan pemeriksaan kesehatan dengan Shield Advanced dan Route 53
<a name="ddos-advanced-health-checks"></a>

Anda dapat mengonfigurasi Shield Advanced untuk menggunakan deteksi berbasis kesehatan untuk meningkatkan respons dan akurasi dalam deteksi dan mitigasi serangan. Anda dapat menggunakan opsi ini dengan jenis sumber daya apa pun kecuali untuk zona yang dihosting Route 53. 

Untuk mengonfigurasi deteksi berbasis kesehatan, Anda menentukan pemeriksaan kesehatan untuk sumber daya Anda di Route 53, memverifikasi bahwa pelaporan tersebut sehat, dan kemudian mengaitkannya dengan perlindungan Shield Advanced Anda. Untuk informasi tentang pemeriksaan kesehatan Route 53, lihat [Cara Amazon Route 53 memeriksa kesehatan sumber daya Anda](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/welcome-health-checks.html) dan [Membuat, memperbarui, dan menghapus pemeriksaan kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-deleting.html) di Panduan Pengembang Amazon Route 53. 

**catatan**  
Pemeriksaan kesehatan diperlukan untuk dukungan keterlibatan proaktif Shield Response Team (SRT). Untuk informasi tentang keterlibatan proaktif, lihat[Menyiapkan keterlibatan proaktif untuk SRT untuk menghubungi Anda secara langsung](ddos-srt-proactive-engagement.md).

Pemeriksaan Kesehatan mengukur kesehatan sumber daya Anda berdasarkan persyaratan yang Anda tentukan. Status pemeriksaan kesehatan memberikan masukan penting ke mekanisme deteksi Shield Advanced, memberi mereka sensitivitas yang lebih besar terhadap status aplikasi spesifik Anda saat ini. 

Anda dapat mengaktifkan deteksi berbasis kesehatan untuk semua jenis sumber daya kecuali untuk zona yang dihosting Route 53.
+ **Sumber daya lapisan jaringan dan transport (lapisan 3/lapisan 4)** - Deteksi berbasis kesehatan meningkatkan akurasi deteksi dan mitigasi peristiwa lapisan jaringan dan lapisan transportasi untuk Network Load Balancer, alamat IP Elastis, dan akselerator standar Global Accelerator. Saat Anda melindungi jenis sumber daya ini dengan Shield Advanced, Shield Advanced dapat memberikan mitigasi untuk serangan yang lebih kecil dan mitigasi serangan yang lebih cepat, bahkan ketika lalu lintas berada dalam kapasitas aplikasi.

  Ketika Anda menambahkan deteksi berbasis kesehatan, selama periode ketika pemeriksaan kesehatan terkait tidak sehat, Shield Advanced dapat menempatkan mitigasi lebih cepat dan bahkan pada ambang batas yang lebih rendah.
+ **Sumber daya lapisan aplikasi (lapisan 7)** — Deteksi berbasis kesehatan meningkatkan akurasi deteksi banjir permintaan web untuk CloudFront distribusi dan Application Load Balancer. Ketika Anda melindungi jenis sumber daya ini dengan Shield Advanced, Anda menerima peringatan deteksi banjir permintaan web ketika ada penyimpangan signifikan secara statistik dalam volume lalu lintas yang dikombinasikan dengan perubahan signifikan dalam pola lalu lintas, berdasarkan karakteristik permintaan. 

  Dengan deteksi berbasis kesehatan, ketika pemeriksaan kesehatan Route 53 terkait tidak sehat, Shield Advanced membutuhkan penyimpangan yang lebih kecil untuk mengingatkan dan melaporkan kejadian lebih cepat. Sebaliknya, ketika pemeriksaan kesehatan Route 53 terkait sehat, Shield Advanced membutuhkan penyimpangan yang lebih besar untuk waspada. 

Anda akan mendapat manfaat maksimal dari menggunakan pemeriksaan kesehatan dengan Shield Advanced jika pemeriksaan kesehatan hanya melaporkan sehat ketika aplikasi Anda berjalan dalam parameter yang dapat diterima dan hanya melaporkan tidak sehat jika tidak. Gunakan panduan di bagian ini untuk mengelola asosiasi pemeriksaan kesehatan Anda di Shield Advanced. 

**catatan**  
Shield Advanced tidak secara otomatis mengelola pemeriksaan kesehatan Anda. 

Berikut ini diperlukan untuk menggunakan pemeriksaan kesehatan dengan Shield Advanced: 
+ Pemeriksaan kesehatan harus dilaporkan sehat saat Anda mengaitkannya dengan perlindungan Shield Advanced Anda. 
+ Pemeriksaan kesehatan harus relevan dengan kesehatan sumber daya Anda yang dilindungi. Anda bertanggung jawab untuk menentukan dan memelihara pemeriksaan kesehatan yang secara akurat melaporkan kesehatan aplikasi Anda, berdasarkan persyaratan spesifik aplikasi Anda. 
+ Pemeriksaan kesehatan harus tetap tersedia untuk digunakan oleh perlindungan Shield Advanced. Jangan menghapus pemeriksaan kesehatan di Route 53 yang Anda gunakan untuk perlindungan Shield Advanced.

**Contents**
+ [

# Praktik terbaik untuk menggunakan pemeriksaan kesehatan dengan Shield Advanced
](health-checks-best-practices.md)
+ [

# CloudWatch metrik yang biasa digunakan untuk pemeriksaan kesehatan dengan Shield Advanced
](health-checks-metrics.md)
  + [

## Metrik digunakan untuk memantau kesehatan aplikasi
](health-checks-metrics.md#health-checks-metrics-common)
  + [

## CloudWatch Metrik Amazon untuk setiap jenis sumber daya
](health-checks-metrics.md#health-checks-protected-resource-metrics)
+ [

# Mengaitkan pemeriksaan kesehatan dengan sumber daya Anda yang dilindungi oleh Shield Advanced
](associate-health-check.md)
+ [

# Memutuskan pemeriksaan kesehatan dari sumber daya Anda yang dilindungi oleh Shield Advanced
](disassociate-health-check.md)
+ [

# Melihat status asosiasi pemeriksaan kesehatan di Shield Advanced
](health-check-association-status.md)
+ [

# Contoh pemeriksaan kesehatan untuk Shield Advanced
](health-checks-examples.md)
  + [

## CloudFront Distribusi Amazon
](health-checks-examples.md#health-checks-example-cloudfront)
  + [

## Penyeimbang beban
](health-checks-examples.md#health-checks-example-load-balancer)
  + [

## Alamat IP EC2 elastis Amazon (EIP)
](health-checks-examples.md#health-checks-example-elastic-ip)

# Praktik terbaik untuk menggunakan pemeriksaan kesehatan dengan Shield Advanced
<a name="health-checks-best-practices"></a>

Ikuti praktik terbaik di bagian ini saat Anda membuat dan menggunakan pemeriksaan kesehatan dengan Shield Advanced.
+ Rencanakan pemeriksaan kesehatan Anda dengan mengidentifikasi komponen infrastruktur yang ingin Anda pantau. Pertimbangkan jenis sumber daya berikut untuk pemeriksaan kesehatan: 
  + Sumber daya kritis.
  + Sumber daya apa pun yang Anda inginkan sensitivitas lebih tinggi dalam deteksi dan mitigasi Shield Advanced.
  + Sumber daya yang Anda inginkan untuk Shield Advanced menjangkau Anda secara proaktif. Keterlibatan proaktif diinformasikan oleh status pemeriksaan kesehatan Anda.

  Contoh sumber daya yang mungkin ingin Anda pantau termasuk CloudFront distribusi Amazon, penyeimbang beban yang menghadap ke internet, dan instans Amazon EC2. 
+ Tentukan pemeriksaan kesehatan yang secara akurat mencerminkan kesehatan asal aplikasi Anda dengan pemberitahuan sesedikit mungkin. 
  + Tulis pemeriksaan kesehatan sehingga hanya tidak sehat ketika aplikasi Anda tidak tersedia atau tidak berkinerja dalam parameter yang dapat diterima. Anda bertanggung jawab untuk menentukan dan memelihara pemeriksaan kesehatan berdasarkan persyaratan spesifik aplikasi Anda. 
  + Gunakan pemeriksaan kesehatan sesedikit mungkin sambil tetap melaporkan kesehatan aplikasi Anda secara akurat. Misalnya, beberapa alarm dari beberapa area aplikasi Anda yang semuanya melaporkan masalah yang sama dapat menambah overhead ke aktivitas respons Anda tanpa menambahkan nilai informasi. 
  + Gunakan pemeriksaan kesehatan terhitung untuk memantau kesehatan aplikasi menggunakan kombinasi CloudWatch metrik Amazon. Misalnya, Anda dapat menghitung kesehatan gabungan berdasarkan latensi server aplikasi Anda dan tingkat kesalahan 5xx mereka, yang menunjukkan bahwa server asal tidak memenuhi permintaan. 
  + Buat dan publikasikan indikator kesehatan aplikasi Anda sendiri ke metrik CloudWatch khusus sesuai kebutuhan dan gunakan dalam pemeriksaan kesehatan yang dihitung.
+ Terapkan dan kelola pemeriksaan kesehatan Anda untuk meningkatkan deteksi dan mengurangi aktivitas pemeliharaan yang tidak perlu.
  + Sebelum Anda mengaitkan pemeriksaan kesehatan dengan perlindungan Shield Advanced, pastikan itu dalam keadaan sehat. Mengaitkan pemeriksaan kesehatan yang melaporkan tidak sehat dapat mengubah mekanisme deteksi Shield Advanced untuk sumber daya Anda yang dilindungi.
  + Pastikan pemeriksaan kesehatan Anda tersedia untuk digunakan oleh Shield Advanced. Jangan menghapus pemeriksaan kesehatan di Route 53 yang Anda gunakan untuk perlindungan Shield Advanced.
  + Gunakan lingkungan pementasan dan pengujian hanya untuk menguji pemeriksaan kesehatan Anda. Hanya pertahankan asosiasi pemeriksaan kesehatan untuk lingkungan yang memerlukan kinerja dan ketersediaan tingkat produksi. Jangan menjaga asosiasi pemeriksaan kesehatan di Shield Advanced untuk lingkungan pementasan dan pengujian. 

# CloudWatch metrik yang biasa digunakan untuk pemeriksaan kesehatan dengan Shield Advanced
<a name="health-checks-metrics"></a>

Bagian ini mencantumkan CloudWatch metrik Amazon yang biasa digunakan dalam pemeriksaan kesehatan untuk mengukur kesehatan aplikasi selama peristiwa penolakan layanan terdistribusi. DDo Untuk informasi selengkapnya tentang CloudWatch metrik untuk setiap jenis sumber daya, lihat daftar yang mengikuti tabel. 

**Topics**
+ [

## Metrik digunakan untuk memantau kesehatan aplikasi
](#health-checks-metrics-common)
+ [

## CloudWatch Metrik Amazon untuk setiap jenis sumber daya
](#health-checks-protected-resource-metrics)

## Metrik digunakan untuk memantau kesehatan aplikasi
<a name="health-checks-metrics-common"></a>


| Sumber daya | Metrik | Deskripsi | 
| --- | --- | --- | 
| Route 53 | `HealthCheckStatus` | Status titik akhir pemeriksaan kesehatan. | 
| CloudFront | `5xxErrorRate` | Persentase semua permintaan yang kode status HTTP adalah 5xx. Ini menunjukkan serangan yang memengaruhi aplikasi. | 
| Penyeimbang Beban Aplikasi | `HTTPCode_ELB_5XX_Count` | Jumlah kode kesalahan klien HTTP 5xx yang dihasilkan oleh penyeimbang beban.  | 
| Penyeimbang Beban Aplikasi | `RejectedConnectionCount` | Jumlah koneksi yang ditolak karena load balancer mencapai jumlah koneksi maksimumnya. | 
| Penyeimbang Beban Aplikasi | `TargetConnectionErrorCount` | Jumlah koneksi yang tidak berhasil dibuat antara penyeimbang beban dan target. | 
| Penyeimbang Beban Aplikasi | `TargetResponseTime` |  Waktu berlalu dalam hitungan detik setelah permintaan meninggalkan penyeimbang beban dan ketika menerima respons dari target.  | 
| Penyeimbang Beban Aplikasi | `UnHealthyHostCount` | Jumlah target yang dianggap tidak sehat. | 
| Amazon EC2 | `CPUUtilization` | Persentase unit EC2 komputasi yang dialokasikan yang saat ini digunakan. | 

## CloudWatch Metrik Amazon untuk setiap jenis sumber daya
<a name="health-checks-protected-resource-metrics"></a>

Untuk informasi tambahan tentang metrik yang tersedia untuk sumber daya yang dilindungi, lihat bagian berikut di panduan sumber daya: 
+ Amazon Route 53 - [Memantau sumber daya Anda dengan pemeriksaan kesehatan Amazon Route 53 dan Amazon CloudWatch](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/monitoring-cloudwatch.html) di Panduan Pengembang Amazon Route 53.
+ Amazon CloudFront - [Pemantauan CloudFront dengan Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/monitoring-using-cloudwatch.html) di Panduan CloudFront Pengembang Amazon.
+ Application Load Balancer — [CloudWatch metrik untuk Application Load Balancer Anda di Panduan Pengguna untuk Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-cloudwatch-metrics.html) Balancer.
+ Network Load Balancer — [CloudWatch metrik untuk Network Load Balancer Anda di Panduan Pengguna untuk Network Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/network/load-balancer-cloudwatch-metrics.html) Balancer.
+ AWS Global Accelerator — [Menggunakan Amazon CloudWatch dengan AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/cloudwatch-monitoring.html) di Panduan AWS Global Accelerator Pengembang.
+ Amazon Elastic Compute Cloud — [Buat daftar CloudWatch metrik yang tersedia untuk instans Anda](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/viewing_metrics_with_cloudwatch.html) di terbaru/ /. https://docs.aws.amazon.com/AWSEC2/ UserGuide
+ Amazon EC2 Auto Scaling — [ CloudWatch Metrik pemantauan untuk grup dan instans Auto Scaling di Panduan Pengguna Amazon](https://docs.aws.amazon.com/autoscaling/ec2/userguide/as-instance-monitoring.html) Auto Scaling. EC2 

# Mengaitkan pemeriksaan kesehatan dengan sumber daya Anda yang dilindungi oleh Shield Advanced
<a name="associate-health-check"></a>

Prosedur berikut menunjukkan cara mengaitkan pemeriksaan kesehatan Amazon Route 53 dengan sumber daya yang dilindungi. 

**catatan**  
Sebelum Anda mengaitkan pemeriksaan kesehatan dengan perlindungan Shield Advanced, pastikan itu dalam keadaan sehat. Untuk selengkapnya, lihat [Memantau status pemeriksaan kesehatan dan mendapatkan notifikasi](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-monitor-view-status.html) di Panduan Pengembang Amazon Route 53. 

**Untuk mengaitkan pemeriksaan kesehatan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Pada tab **Perlindungan**, pilih sumber daya yang ingin Anda kaitkan dengan pemeriksaan kesehatan. 

1. Pilih **Konfigurasi perlindungan.**

1. Pilih **Berikutnya** hingga Anda masuk ke halaman **Konfigurasikan deteksi DDo S berbasis pemeriksaan kesehatan - *opsional***.

1. Di bawah **Pemeriksaan Kesehatan Terkait**, pilih ID pemeriksaan kesehatan yang ingin Anda kaitkan dengan perlindungan. 
**catatan**  
Jika Anda tidak melihat pemeriksaan kesehatan yang Anda butuhkan, buka konsol Route 53 dan verifikasi pemeriksaan kesehatan dan ID-nya. Untuk selengkapnya, lihat [Membuat dan Memperbarui Pemeriksaan Kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html).

1. Berjalanlah melalui sisa halaman sampai Anda menyelesaikan konfigurasi. Pada halaman **Perlindungan**, asosiasi pemeriksaan kesehatan Anda yang diperbarui terdaftar untuk sumber daya.

1. Pada halaman **Perlindungan**, periksa apakah pemeriksaan kesehatan Anda yang baru terkait dilaporkan sehat. 

   Anda tidak dapat berhasil mulai menggunakan pemeriksaan kesehatan di Shield Advanced saat pemeriksaan kesehatan melaporkan tidak sehat. Melakukan hal itu menyebabkan Shield Advanced mendeteksi positif palsu pada ambang batas yang sangat rendah dan juga dapat berdampak negatif pada kemampuan Tim Respons Shield (SRT) untuk menyediakan keterlibatan proaktif untuk sumber daya. 

   Jika pemeriksaan kesehatan yang baru terkait melaporkan tidak sehat, lakukan hal berikut: 

   1. Lepaskan pemeriksaan kesehatan dari perlindungan Anda di Shield Advanced.

   1. Kunjungi kembali spesifikasi pemeriksaan kesehatan Anda di Amazon Route 53 dan verifikasi kinerja dan ketersediaan aplikasi Anda secara keseluruhan. 

   1. Ketika aplikasi Anda bekerja dalam parameter Anda untuk kesehatan yang baik dan pemeriksaan kesehatan Anda dilaporkan sehat, coba lagi untuk mengaitkan pemeriksaan kesehatan di Shield Advanced.

Prosedur asosiasi pemeriksaan kesehatan selesai ketika Anda telah membentuk asosiasi pemeriksaan kesehatan baru Anda dan dilaporkan sehat di Shield Advanced.

# Memutuskan pemeriksaan kesehatan dari sumber daya Anda yang dilindungi oleh Shield Advanced
<a name="disassociate-health-check"></a>

Prosedur berikut menunjukkan cara memisahkan pemeriksaan kesehatan Amazon Route 53 dari sumber daya yang dilindungi. 

**Untuk memisahkan pemeriksaan kesehatan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Pada tab **Proteksi**, pilih sumber daya yang ingin Anda putuskan dari pemeriksaan kesehatan. 

1. Pilih **Konfigurasikan perlindungan.**

1. Pilih **Berikutnya** hingga Anda masuk ke halaman **Konfigurasikan deteksi DDo S berbasis pemeriksaan kesehatan - *opsional***.

1. Di bawah **Pemeriksaan Kesehatan Terkait**, pilih opsi kosong, terdaftar sebagai **-**. 

1. Berjalanlah melalui sisa halaman sampai Anda menyelesaikan konfigurasi. 

Pada halaman **Proteksi**, bidang pemeriksaan kesehatan untuk sumber daya Anda diatur ke **-**, yang menunjukkan tidak ada asosiasi pemeriksaan kesehatan.

# Melihat status asosiasi pemeriksaan kesehatan di Shield Advanced
<a name="health-check-association-status"></a>

Anda dapat melihat status pemeriksaan kesehatan yang terkait dengan perlindungan di halaman **sumber daya yang Dilindungi** konsol AWS WAF & Shield dan pada halaman detail setiap sumber daya. 
+ **Sehat** — Pemeriksaan kesehatan tersedia dan dilaporkan sehat.
+ **Tidak sehat** — Pemeriksaan kesehatan tersedia dan melaporkan tidak sehat.
+ **Tidak tersedia** — Pemeriksaan kesehatan tidak tersedia untuk digunakan oleh Shield Advanced. 

**Untuk menyelesaikan pemeriksaan kesehatan **yang tidak tersedia****

Buat dan gunakan pemeriksaan kesehatan baru. Jangan mencoba mengaitkan pemeriksaan kesehatan lagi setelah status tidak tersedia di Shield Advanced. 

Untuk panduan terperinci tentang mengikuti langkah-langkah ini, lihat topik sebelumnya. 

1. Di Shield Advanced, lepaskan pemeriksaan kesehatan dari sumber daya. 

1. Di Route 53, buat pemeriksaan kesehatan baru untuk sumber daya dan catat ID-nya. Untuk selengkapnya, lihat [Membuat dan Memperbarui Pemeriksaan Kesehatan](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating.html) di Panduan Pengembang Amazon Route 53.

1. Di Shield Advanced, kaitkan pemeriksaan kesehatan baru dengan sumber daya. 

# Contoh pemeriksaan kesehatan untuk Shield Advanced
<a name="health-checks-examples"></a>

Bagian ini menunjukkan contoh pemeriksaan kesehatan yang dapat Anda gunakan dalam pemeriksaan kesehatan yang dihitung. Pemeriksaan kesehatan yang dihitung menggunakan sejumlah pemeriksaan kesehatan individu untuk menentukan status gabungan. Status setiap pemeriksaan kesehatan individu didasarkan pada kesehatan titik akhir atau pada keadaan CloudWatch metrik Amazon. Anda menggabungkan pemeriksaan kesehatan ke dalam pemeriksaan kesehatan yang dihitung dan kemudian mengkonfigurasi pemeriksaan kesehatan Anda yang dihitung untuk melaporkan kesehatan berdasarkan status kesehatan gabungan dari pemeriksaan kesehatan individu. Sesuaikan sensitivitas pemeriksaan kesehatan yang Anda hitung sesuai dengan kebutuhan Anda untuk kinerja dan ketersediaan aplikasi. 

Untuk informasi tentang pemeriksaan kesehatan yang dihitung, lihat [Memantau pemeriksaan kesehatan lainnya (pemeriksaan kesehatan terhitung)](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/health-checks-creating-values.html#health-checks-creating-values-calculated) di Panduan Pengembang Amazon Route 53. Untuk informasi tambahan, lihat posting blog [Perbaikan Route 53 — Pemeriksaan Kesehatan Terhitung dan Pemeriksaan Latensi](https://aws.amazon.com/blogs/aws/route-53-improvements-calculated-health-checks-and-latency-checks/).

**Topics**
+ [

## CloudFront Distribusi Amazon
](#health-checks-example-cloudfront)
+ [

## Penyeimbang beban
](#health-checks-example-load-balancer)
+ [

## Alamat IP EC2 elastis Amazon (EIP)
](#health-checks-example-elastic-ip)

## CloudFront Distribusi Amazon
<a name="health-checks-example-cloudfront"></a>

Contoh berikut menjelaskan pemeriksaan kesehatan yang dapat digabungkan menjadi pemeriksaan kesehatan yang dihitung untuk CloudFront distribusi: 
+ Pantau titik akhir dengan menentukan nama domain ke jalur distribusi yang menyajikan konten dinamis. Respons yang sehat akan mencakup kode respons HTTP 2xx dan 3xx.
+ Pantau keadaan CloudWatch alarm yang mengukur kesehatan CloudFront asal. Misalnya, Anda dapat mempertahankan CloudWatch alarm pada metrik Application Load Balancer`TargetResponseTime`, dan membuat pemeriksaan kesehatan yang mencerminkan status alarm. Pemeriksaan kesehatan bisa menjadi tidak sehat ketika waktu respons, antara permintaan meninggalkan penyeimbang beban dan ketika penyeimbang beban menerima respons dari target, melebihi ambang batas yang dikonfigurasi dalam alarm.
+ Pantau status CloudWatch alarm yang mengukur persentase permintaan yang kode status HTTP responsnya adalah 5xx. Jika tingkat kesalahan 5xx CloudFront distribusi lebih tinggi dari ambang batas yang ditentukan dalam CloudWatch alarm, status pemeriksaan kesehatan ini akan beralih ke tidak sehat. 

## Penyeimbang beban
<a name="health-checks-example-load-balancer"></a>

Contoh berikut menjelaskan pemeriksaan kesehatan yang dapat digunakan dalam pemeriksaan kesehatan yang dihitung untuk Application Load Balancer, Network Load Balancer, atau akselerator standar Global Accelerator. 
+ Pantau keadaan CloudWatch alarm yang mengukur jumlah koneksi baru yang dibuat oleh klien ke penyeimbang beban. Anda dapat mengatur ambang alarm untuk jumlah rata-rata koneksi baru pada tingkat tertentu lebih tinggi dari rata-rata harian Anda. Metrik untuk setiap jenis sumber daya adalah sebagai berikut: 
  + Application Load Balancer: `NewConnectionCount`
  + Network Load Balancer: `ActiveFlowCount`
  + Akselerator Global: `NewFlowCount`
+ Untuk Application Load Balancer dan Network Load Balancer, pantau keadaan alarm CloudWatch yang mengukur jumlah load balancer yang dianggap sehat. Anda dapat mengatur ambang alarm baik di Availability Zone atau pada jumlah minimum host sehat yang dibutuhkan penyeimbang beban Anda. Metrik yang tersedia untuk sumber daya penyeimbang beban adalah sebagai berikut: 
  + Application Load Balancer: `HealthyHostCount`
  + Network Load Balancer: `HealthyHostCount`
+ Untuk Application Load Balancer, pantau status CloudWatch alarm yang mengukur jumlah kode respons HTTP 5xx yang dihasilkan oleh target penyeimbang beban. Untuk Application Load Balancer, Anda dapat menggunakan metrik `HTTPCode_Target_5XX_Count` dan mendasarkan ambang alarm pada jumlah semua kesalahan 5xx untuk penyeimbang beban. 

## Alamat IP EC2 elastis Amazon (EIP)
<a name="health-checks-example-elastic-ip"></a>

Contoh pemeriksaan kesehatan berikut dapat digabungkan menjadi pemeriksaan kesehatan yang dihitung untuk alamat IP EC2 elastis Amazon: 
+ Pantau titik akhir dengan menentukan alamat IP ke alamat IP Elastis. Pemeriksaan kesehatan akan tetap sehat selama koneksi TCP dapat dibuat dengan sumber daya di belakang alamat IP.
+ Pantau status CloudWatch alarm yang mengukur persentase unit EC2 komputasi Amazon yang dialokasikan yang saat ini digunakan pada instance. Anda dapat menggunakan EC2 metrik Amazon `CPUUtilization` dan mendasarkan ambang alarm pada apa yang Anda anggap sebagai tingkat pemanfaatan CPU yang tinggi untuk aplikasi Anda, seperti 90%.

# Menambahkan AWS Shield Advanced perlindungan ke AWS sumber daya
<a name="configure-new-protection"></a>

Ikuti panduan di bagian ini untuk menambahkan perlindungan Shield Advanced ke satu atau beberapa sumber daya.

**Untuk menambahkan perlindungan untuk sumber AWS daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel navigasi, di bawah AWS Shield pilih **Sumber daya yang dilindungi**. 

1. Pilih **Tambahkan sumber daya untuk dilindungi**.

1. Di halaman **Pilih sumber daya untuk dilindungi dengan Shield Advanced**, **di Tentukan Wilayah dan jenis sumber daya**, berikan spesifikasi Wilayah dan tipe sumber daya untuk sumber daya yang ingin Anda lindungi. Anda dapat melindungi sumber daya di beberapa Wilayah dengan memilih **Semua Wilayah** dan Anda dapat mempersempit pilihan ke sumber daya global dengan memilih **Global**. Anda dapat membatalkan pilihan jenis sumber daya apa pun yang tidak ingin Anda lindungi. Untuk informasi tentang perlindungan untuk jenis sumber daya Anda, lihat[Daftar sumber daya yang AWS Shield Advanced melindungi](ddos-protections-by-resource-type.md).

1. Pilih **Muat sumber daya**. Shield Advanced mengisi bagian **Pilih Sumber Daya** dengan AWS sumber daya yang sesuai dengan kriteria Anda. 

1. Di bagian **Pilih Sumber Daya**, Anda dapat memfilter daftar sumber daya dengan memasukkan string untuk dicari di daftar sumber daya. 

   Pilih sumber daya yang ingin Anda lindungi.

1. Di bagian **Tag**, jika Anda ingin menambahkan tag ke perlindungan Shield Advanced yang Anda buat, tentukan tag tersebut. Untuk informasi tentang menandai AWS sumber daya, lihat [Bekerja dengan Editor Tag](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html). 

1. Pilih **Lindungi dengan Shield Advanced**. Ini menambahkan perlindungan Shield Advanced ke sumber daya.

# AWS Shield Advanced Perlindungan pengeditan
<a name="manage-protection"></a>

Anda dapat mengubah pengaturan untuk AWS Shield Advanced perlindungan Anda kapan saja. Untuk melakukan ini, telusuri opsi untuk perlindungan yang Anda pilih dan ubah pengaturan yang perlu Anda ubah. 

**Untuk mengelola sumber daya yang dilindungi**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Proteksi**, pilih sumber daya yang ingin Anda lindungi. 

1. Pilih **Konfigurasi perlindungan** dan opsi spesifikasi sumber daya yang Anda inginkan.

1. Berjalanlah melalui setiap opsi perlindungan sumber daya, buat perubahan sesuai kebutuhan. 

## Konfigurasikan perlindungan lapisan DDo S aplikasi
<a name="configure-app-layer-protection"></a>

Untuk perlindungan terhadap serangan terhadap Amazon CloudFront dan sumber daya Application Load Balancer, Anda dapat menambahkan AWS WAF web ACLs dan menambahkan aturan berbasis kecepatan. Untuk informasi tentang ini, lihat[Melindungi lapisan aplikasi dengan AWS WAF web ACLs dan Shield Advanced](ddos-app-layer-web-ACL-and-rbr.md).

Anda juga dapat mengaktifkan mitigasi lapisan aplikasi otomatis Shield Advanced DDo S. Untuk informasi tentang cara AWS WAF kerja, lihat[AWS WAF](waf-chapter.md). Untuk informasi tentang fitur mitigasi otomatis, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

**penting**  
Jika Anda mengelola perlindungan Shield Advanced dengan AWS Firewall Manager menggunakan kebijakan Shield Advanced, Anda tidak dapat mengelola perlindungan lapisan aplikasi di sini. Untuk semua sumber daya lainnya, kami menyarankan agar, setidaknya, Anda melampirkan ACL web ke setiap sumber daya, bahkan jika ACL web tidak berisi aturan apa pun.

**catatan**  
Ketika Anda mengaktifkan mitigasi lapisan DDo S aplikasi otomatis untuk sumber daya, jika diperlukan, operasi secara otomatis menambahkan peran terkait layanan ke akun Anda untuk memberi Shield Advanced izin yang diperlukan untuk mengelola perlindungan ACL web Anda. Untuk informasi, lihat [Menggunakan peran terkait layanan untuk Shield Advanced](shd-using-service-linked-roles.md).

**Untuk mengkonfigurasi perlindungan lapisan DDo S aplikasi**

1. Di halaman **Configure layer 7 DDo S protections**, jika sumber daya belum dikaitkan dengan ACL web, Anda dapat memilih ACL web yang ada atau membuat sendiri. 

   Untuk membuat ACL web, ikuti langkah-langkah berikut:

   1. Pilih **Buat web ACL**.

   1. Masukkan nama. Anda tidak dapat mengubah nama setelah membuat ACL web.

   1. Pilih **Buat**.
**catatan**  
Jika sumber daya sudah dikaitkan dengan ACL web, Anda tidak dapat mengubah ke ACL web yang berbeda. Jika Anda ingin mengubah ACL web, Anda harus terlebih dahulu menghapus web terkait ACLs dari sumber daya. Untuk informasi selengkapnya, lihat [Mengaitkan atau memisahkan perlindungan dengan sumber daya AWS](web-acl-associating-aws-resource.md).

1. Jika ACL web tidak memiliki aturan berbasis tarif yang ditentukan, Anda dapat menambahkannya dengan memilih **aturan Tambah batas tingkat** dan kemudian melakukan langkah-langkah berikut:

   1. Masukkan nama.

   1. Masukkan batas tarif. Ini adalah jumlah maksimum permintaan yang diizinkan dalam periode lima menit dari alamat IP tunggal sebelum tindakan aturan berbasis tarif diterapkan ke alamat IP. Ketika permintaan dari alamat IP jatuh di bawah batas, tindakan dihentikan. 

   1. Tetapkan tindakan aturan untuk menghitung atau memblokir permintaan dari alamat IP saat jumlah permintaannya melebihi batas. Aplikasi dan penghapusan tindakan aturan mungkin berlaku satu atau dua menit setelah tingkat permintaan alamat IP berubah. 

   1. Pilih **Tambahkan aturan**.

1. Untuk **mitigasi lapisan DDo S aplikasi Otomatis**, pilih apakah Anda ingin Shield Advanced untuk secara otomatis mengurangi serangan DDo S atas nama Anda, sebagai berikut: 
   + Untuk mengaktifkan mitigasi otomatis, pilih **Aktifkan**, lalu pilih tindakan AWS WAF aturan yang ingin digunakan Shield Advanced dalam aturan kustomnya. Pilihan Anda adalah Count danBlock. Untuk informasi tentang tindakan AWS WAF aturan ini, lihat[Menggunakan tindakan aturan di AWS WAF](waf-rule-action.md). Untuk informasi tentang cara Shield Advanced mengelola setelan tindakan ini, lihat[Bagaimana Shield Advanced mengelola pengaturan tindakan aturan](ddos-automatic-app-layer-response-behavior.md#ddos-automatic-app-layer-response-rule-action).
   + **Untuk menonaktifkan mitigasi otomatis, pilih Nonaktifkan.** 
   + Agar pengaturan mitigasi otomatis tidak berubah untuk sumber daya yang Anda kelola, biarkan pilihan default **Simpan** pengaturan saat ini. 

   Untuk informasi tentang mitigasi lapisan DDo S aplikasi otomatis Shield Advanced, lihat. [Mengotomatiskan mitigasi lapisan DDo S aplikasi dengan Shield Advanced](ddos-automatic-app-layer-response.md)

1. Pilih **Berikutnya**. 

# Membuat alarm dan notifikasi untuk sumber daya yang dilindungi oleh Shield Advanced
<a name="add-alarm-ddos"></a>

Prosedur berikut menunjukkan cara mengelola CloudWatch alarm untuk sumber daya yang dilindungi. 

**catatan**  
CloudWatch menimbulkan biaya tambahan. Untuk CloudWatch harga, lihat [ CloudWatch Harga Amazon](https://aws.amazon.com/cloudwatch/pricing/).

**Untuk membuat alarm dan notifikasi**

1. Di halaman perlindungan **Buat alarm dan pemberitahuan - *opsional***, konfigurasikan topik SNS untuk alarm dan pemberitahuan yang ingin Anda terima. Untuk sumber daya yang tidak Anda inginkan notifikasi, pilih **Tidak ada topik**. Anda dapat menambahkan topik Amazon SNS atau membuat topik baru. 

1. Untuk membuat topik Amazon SNS, ikuti langkah-langkah ini:

   1. Dalam daftar dropdown, pilih **Buat topik SNS**.

   1. Masukkan nama topik. 

   1. Secara opsional masukkan alamat email tempat pesan Amazon SNS akan dikirim, lalu **pilih** Tambahkan email. Anda dapat memasukkan lebih dari satu.

   1. Pilih **Buat**.

1. Pilih **Berikutnya**.

# Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya
<a name="remove-protection"></a>

Anda dapat menghapus AWS Shield Advanced perlindungan dari AWS sumber daya Anda kapan saja. 

**penting**  
Menghapus sumber AWS daya tidak menghapus sumber daya dari AWS Shield Advanced. Anda juga harus menghapus perlindungan pada sumber daya dari AWS Shield Advanced, seperti yang dijelaskan dalam prosedur ini.

**Hapus AWS Shield Advanced perlindungan dari sumber AWS daya**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Perlindungan**, pilih sumber daya yang perlindungannya ingin Anda hapus. 

1. Pilih **Hapus perlindungan.**

   1. Jika Anda memiliki CloudWatch alarm Amazon yang dikonfigurasi untuk perlindungan, Anda diberi opsi untuk menghapus alarm bersama dengan perlindungannya. Jika Anda memilih untuk tidak menghapus alarm pada saat ini, Anda dapat menghapusnya nanti menggunakan CloudWatch konsol.
**catatan**  
Untuk perlindungan yang memiliki pemeriksaan kesehatan Amazon Route 53 yang dikonfigurasi, jika Anda menambahkan perlindungan lagi nanti, perlindungan masih termasuk pemeriksaan kesehatan. 

Langkah-langkah sebelumnya menghapus AWS Shield Advanced perlindungan dari sumber daya tertentu AWS . Mereka tidak membatalkan AWS Shield Advanced langganan Anda. Anda akan terus dikenakan biaya untuk layanan ini. Untuk informasi tentang AWS Shield Advanced langganan Anda, hubungi [AWS Dukungan Pusat](https://console.aws.amazon.com/support/home#/).

## Menghapus CloudWatch alarm dari perlindungan Shield Advanced
<a name="remove-cloudwatch-ddos"></a>

Untuk menghapus CloudWatch alarm dari perlindungan Shield Advanced, lakukan salah satu hal berikut:
+ Hapus perlindungan seperti yang dijelaskan dalam[Menghapus AWS Shield Advanced perlindungan dari sumber AWS daya](#remove-protection). Pastikan untuk memilih kotak centang di samping **Hapus juga DDo SDetection alarm terkait**.
+ Hapus alarm menggunakan CloudWatch konsol. Nama alarm yang akan dihapus dimulai dengan **DDoSDetectedAlarmForProtection**.

# Mengelompokkan perlindungan Anda AWS Shield Advanced
<a name="ddos-protection-groups"></a>

Gunakan grup perlindungan untuk membuat koleksi logis dari sumber daya Anda yang dilindungi dan mengelola perlindungan mereka sebagai grup. Untuk informasi tentang mengelola perlindungan sumber daya, lihat[AWS Shield Advanced Perlindungan pengeditan](manage-protection.md). 

**catatan**  
Mitigasi lapisan aplikasi DDo S otomatis tidak berinteraksi dengan kelompok perlindungan. Anda dapat mengaktifkan mitigasi otomatis untuk sumber daya yang ada di grup perlindungan, tetapi Shield Advanced tidak secara otomatis menerapkan mitigasi serangan berdasarkan temuan kelompok perlindungan. Shield Advanced menerapkan mitigasi serangan otomatis untuk sumber daya individu.

AWS Shield Advanced kelompok perlindungan memberi Anda cara swalayan untuk menyesuaikan ruang lingkup deteksi dan mitigasi dengan memperlakukan beberapa sumber daya yang dilindungi sebagai satu unit. Pengelompokan sumber daya dapat memberikan sejumlah manfaat. 
+ Meningkatkan akurasi deteksi. 
+ Kurangi pemberitahuan acara yang tidak dapat ditindaklanjuti. 
+ Meningkatkan cakupan tindakan mitigasi untuk memasukkan sumber daya yang dilindungi yang juga mungkin terpengaruh selama suatu acara. 
+ Mempercepat waktu untuk mitigasi serangan dengan beberapa target serupa. 
+ Memfasilitasi perlindungan otomatis sumber daya yang dilindungi yang baru dibuat. 

Kelompok perlindungan dapat membantu mengurangi positif palsu dalam situasi seperti blue/green swap, di mana sumber daya bergantian antara mendekati nol beban dan terisi penuh. Contoh lain adalah ketika Anda sering membuat dan menghapus sumber daya sambil mempertahankan tingkat beban yang dibagikan di antara anggota grup. Untuk situasi seperti ini, pemantauan sumber daya individu dapat menyebabkan positif palsu, sementara memantau kesehatan kelompok sumber daya tidak. 

Anda dapat mengonfigurasi grup perlindungan untuk menyertakan semua sumber daya yang dilindungi, semua sumber daya dari jenis sumber daya tertentu, atau sumber daya yang ditentukan secara individual. Sumber daya yang baru dilindungi yang memenuhi kriteria kelompok perlindungan Anda secara otomatis disertakan dalam grup perlindungan Anda. Sumber daya yang dilindungi dapat menjadi milik beberapa kelompok perlindungan. 

# Membuat grup perlindungan Shield Advanced
<a name="protection-group-creating"></a>

**Untuk membuat grup perlindungan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Pilih tab **Grup perlindungan**, lalu pilih **Buat grup perlindungan**. 

1. Di halaman **Buat grup perlindungan**, berikan nama untuk grup Anda. Anda akan menggunakan nama ini untuk mengidentifikasi grup dalam daftar sumber daya yang dilindungi. Anda tidak dapat mengubah nama grup perlindungan setelah Anda membuatnya. 

1. Untuk **kriteria pengelompokan Perlindungan**, pilih kriteria yang Anda inginkan untuk digunakan Shield Advanced untuk mengidentifikasi sumber daya yang dilindungi untuk disertakan dalam grup. Buat pilihan tambahan Anda berdasarkan kriteria yang Anda pilih.

1. Untuk **Agregasi**, pilih cara Anda ingin Shield Advanced menggabungkan data sumber daya untuk grup untuk mendeteksi, mengurangi, dan melaporkan peristiwa.
   + **Jumlah** — Gunakan total lalu lintas di seluruh grup. Ini adalah pilihan yang baik untuk kebanyakan kasus. Contohnya termasuk alamat IP Elastis untuk EC2 instans Amazon yang menskalakan secara manual atau otomatis. 
   + **Mean** — Gunakan rata-rata lalu lintas di seluruh grup. Ini adalah pilihan yang baik untuk sumber daya yang berbagi lalu lintas secara seragam. Contohnya termasuk akselerator dan penyeimbang beban. 
   + **Maks** — Gunakan lalu lintas tertinggi dari setiap sumber daya. Ini berguna untuk sumber daya yang tidak berbagi lalu lintas, dan untuk sumber daya yang berbagi lalu lintas dengan cara yang tidak seragam. Contohnya termasuk CloudFront distribusi Amazon dan sumber daya asal untuk CloudFront distribusi. 

1. Pilih **Simpan** untuk menyimpan grup perlindungan Anda dan kembali ke halaman **Sumber daya yang dilindungi**.

Di halaman **Shield** **Events**, Anda dapat melihat peristiwa untuk grup perlindungan dan menelusuri untuk melihat informasi tambahan untuk sumber daya yang dilindungi yang ada di grup. 

# Memperbarui grup perlindungan Shield Advanced
<a name="protection-group-updating"></a>

**Untuk memperbarui grup perlindungan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Grup perlindungan**, pilih kotak centang di samping grup perlindungan yang ingin Anda ubah. 

1. Di halaman grup perlindungan, pilih **Edit**. Buat perubahan pada pengaturan grup perlindungan. 

1. Pilih **Simpan** untuk menyimpan perubahan Anda.

# Menghapus grup perlindungan Shield Advanced
<a name="protection-group-deleting"></a>

**Untuk menghapus grup perlindungan**

1. Masuk ke Konsol Manajemen AWS dan buka konsol AWS WAF & Shield di [https://console.aws.amazon.com/wafv2/](https://console.aws.amazon.com/wafv2/). 

1. Di panel AWS Shield navigasi, pilih **Sumber daya yang dilindungi**.

1. Di tab **Grup perlindungan**, pilih kotak centang di samping grup perlindungan yang ingin Anda hapus. 

1. Di halaman grup perlindungan, pilih **Hapus** dan konfirmasikan tindakan. 

# Tracking Shield Perubahan perlindungan sumber daya tingkat lanjut di AWS Config
<a name="ddos-add-config"></a>

Halaman ini menjelaskan cara merekam perubahan pada AWS Shield Advanced perlindungan sumber daya Anda menggunakan AWS Config. Anda kemudian dapat menggunakan informasi ini untuk mempertahankan riwayat perubahan konfigurasi untuk tujuan audit dan pemecahan masalah.

Untuk merekam perubahan perlindungan, aktifkan AWS Config untuk setiap sumber daya yang ingin Anda lacak. Untuk informasi selengkapnya, lihat [Memulai AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) di *Panduan Pengguna AWS Config *.

Anda harus mengaktifkan AWS Config untuk setiap Wilayah AWS yang berisi sumber daya yang dilacak. Anda dapat mengaktifkan AWS Config secara manual, atau Anda dapat menggunakan CloudFormation templat “Aktifkan AWS Config” di [Template CloudFormation StackSets Sampel](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-sampletemplates.html) di *Panduan CloudFormation Pengguna*.

Jika Anda mengaktifkan AWS Config, Anda akan dikenakan biaya seperti yang dijelaskan pada halaman [AWS Config Harga](https://aws.amazon.com/config/pricing/).

**catatan**  
Jika Anda sudah AWS Config mengaktifkan Wilayah dan sumber daya yang diperlukan, Anda tidak perlu melakukan apa pun. AWS Config log mengenai perubahan perlindungan pada sumber daya Anda mulai terisi secara otomatis.

Setelah mengaktifkan AWS Config, gunakan Wilayah AS Timur (Virginia N.) di AWS Config konsol untuk melihat riwayat perubahan konfigurasi untuk sumber daya AWS Shield Advanced global. 

Lihat sejarah perubahan untuk sumber daya AWS Shield Advanced regional melalui AWS Config konsol di AS Timur (Virginia N.), AS Timur (Ohio), AS Barat (Oregon), AS Barat (California N.), Eropa (Irlandia), Eropa (Frankfurt), Asia Pasifik (Tokyo), dan Wilayah Asia Pasifik (Sydney).