As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# `AWSPremiumSupport-DDoSResiliencyAssessment`
**Descrição**
O `AWSPremiumSupport-DDoSResiliencyAssessment` runbook de AWS Systems Manager automação ajuda você a verificar DDo as vulnerabilidades do S e a configuração dos recursos de acordo com a AWS Shield Advanced proteção de sua. Conta da AWS Ele fornece um relatório de configurações para recursos vulneráveis a ataques distribuídos de negação de serviço (DDoS). Ele é usado para coletar, analisar e avaliar os seguintes recursos: Amazon Route 53, Amazon Load Balancers, CloudFront distribuições da Amazon AWS Global Accelerator e AWS Elastic IPs para suas definições de configuração, de acordo com as melhores práticas recomendadas de proteção. AWS Shield Advanced O relatório de configuração final está disponível em um bucket do Amazon S3 de sua escolha como um arquivo HTML.
**Como funciona?**
Este runbook contém uma série de verificações dos vários tipos de recursos que estão habilitados para acesso público e se eles têm proteções configuradas de acordo com as recomendações do Documento Técnico de Boas [Práticas de AWS DDo S.](https://docs.aws.amazon.com//pdfs/whitepapers/latest/aws-best-practices-ddos-resiliency/aws-best-practices-ddos-resiliency.pdf) O runbook executa o seguinte:
+ Verifica se a assinatura do AWS Shield Advanced está habilitada.
+ Se ativada, ele descobre se há algum recurso protegido do Shield Advanced.
+ Ele encontra todos os recursos globais e regionais na Conta da AWS e verifica se eles estão protegidos pelo Shield.
+ Ela exige os parâmetros do tipo de recurso para avaliação, o nome do bucket do Amazon S3 e o ID do Conta da AWS bucket do Amazon S3 (S3). BucketOwner
+ Ele retorna as descobertas como um relatório HTML armazenado no bucket do Amazon S3 fornecido.
O `AssessmentType` dos parâmetros de entrada decide se as verificações em todos os recursos serão realizadas. Por padrão, o runbook verifica todos os tipos de recursos. Somente se o parâmetro `GlobalResources` ou `RegionalResources` for selecionado, o runbook executará verificações somente nos tipos de recursos selecionados.
**Importante**
O acesso aos `AWSPremiumSupport-*` runbooks requer uma assinatura Business \$1 Support, Enterprise Support ou Unified Operations. Para obter mais informações, consulte [Comparar os planos do AWS Support](https://aws.amazon.com/premiumsupport/plans/).
Este runbook requer uma [assinatura `ACTIVE` do AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/enable-ddos-prem.html).
[Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
**Tipo de documento**
Automação
**Proprietário**
Amazon
**Plataformas**
Linux, macOS, Windows
**Parâmetros**
+ AutomationAssumeRole
Tipo: String
Descrição: (opcional) o nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ AssessmentType
Tipo: string
Descrição: (Opcional) Determina o tipo de recursos a serem avaliados para a avaliação de resiliência DDo S. Por padrão, o runbook avaliará os recursos globais e regionais. Para recursos regionais, o runbook descreve todos os balanceadores de carga de aplicativo (ALB) e rede (NLB), bem como todo o grupo do Auto Scaling em sua Conta da AWS/região.
Valores válidos: `['Global Resources', 'Regional Resources', 'Global and Regional Resources']`
Padrão: recursos globais e regionais
+ S3 BucketName
Tipo: `AWS::S3::Bucket::Name`
Descrição: (obrigatório) o nome do bucket do Amazon S3 onde o relatório será carregado.
Allowed-pattern: `^[0-9a-z][a-z0-9\-\.]{3,63}$`
+ S3 BucketOwnerAccount
Tipo: string
Descrição: (Opcional) O Conta da AWS proprietário do bucket do Amazon S3. Especifique esse parâmetro se o bucket do Amazon S3 pertencer a outro Conta da AWS, caso contrário, você pode deixar esse parâmetro vazio.
Allowed-pattern: `^$|^[0-9]{12,13}$`
+ S3 BucketOwnerRoleArn
Tipo: `AWS::IAM::Role::Arn`
Descrição: (Opcional) O ARN de uma função do IAM com permissões para descrever o bucket do Amazon S3 Conta da AWS e bloquear a configuração de acesso público se o bucket estiver em outro. Conta da AWS Se esse parâmetro não for especificado, o runbook usa o `AutomationAssumeRole` ou o usuário do IAM que inicia esse runbook (se `AutomationAssumeRole` não for especificado). Consulte a seção de permissões necessárias na descrição do runbook.
Allowed-pattern: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso|aws-iso-b):iam::[0-9]{12,13}:role/.*$`
+ S3 BucketPrefix
Tipo: string
Descrição: (opcional) o prefixo do caminho dentro do Amazon S3 para armazenar os resultados.
Allowed-pattern: `^[a-zA-Z0-9][-./a-zA-Z0-9]{0,255}$|^$`
**Permissões obrigatórias do IAM**
O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito.
+ `autoscaling:DescribeAutoScalingGroups`
+ `cloudfront:ListDistributions`
+ `ec2:DescribeAddresses`
+ `ec2:DescribeNetworkAcls`
+ `ec2:DescribeInstances`
+ `elasticloadbalancing:DescribeLoadBalancers`
+ `elasticloadbalancing:DescribeTargetGroups`
+ `globalaccelerator:ListAccelerators`
+ `iam:GetRole`
+ `iam:ListAttachedRolePolicies`
+ `route53:ListHostedZones`
+ `route53:GetHealthCheck`
+ `shield:ListProtections`
+ `shield:GetSubscriptionState`
+ `shield:DescribeSubscription`
+ `shield:DescribeEmergencyContactSettings`
+ `shield:DescribeDRTAccess`
+ `waf:GetWebACL`
+ `waf:GetRateBasedRule`
+ `wafv2:GetWebACL`
+ `wafv2:GetWebACLForResource`
+ `waf-regional:GetWebACLForResource`
+ `waf-regional:GetWebACL`
+ `s3:ListBucket`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `s3:GetBucketPublicAccessBlock`
+ `s3:GetBucketPolicyStatus`
+ `s3:GetBucketEncryption`
+ `s3:GetAccountPublicAccessBlock`
+ `s3:PutObject`
**Exemplo de política do IAM para a função Automation Assume**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetAccountPublicAccessBlock"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"s3:ListBucket",
"s3:GetBucketAcl",
"s3:GetBucketLocation",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetEncryptionConfiguration"
],
"Resource": "arn:aws:s3:::",
"Effect": "Allow"
},
{
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::/*",
"Effect": "Allow"
},
{
"Action": [
"autoscaling:DescribeAutoScalingGroups",
"cloudfront:ListDistributions",
"ec2:DescribeInstances",
"ec2:DescribeAddresses",
"ec2:DescribeNetworkAcls",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"globalaccelerator:ListAccelerators",
"iam:GetRole",
"iam:ListAttachedRolePolicies",
"route53:ListHostedZones",
"route53:GetHealthCheck",
"shield:ListProtections",
"shield:GetSubscriptionState",
"shield:DescribeSubscription",
"shield:DescribeEmergencyContactSettings",
"shield:DescribeDRTAccess",
"waf:GetWebACL",
"waf:GetRateBasedRule",
"wafv2:GetWebACL",
"wafv2:GetWebACLForResource",
"waf-regional:GetWebACLForResource",
"waf-regional:GetWebACL"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "iam:PassRole",
"Resource": "arn:aws:iam::111122223333:role/automation-assume-role-name",
"Effect": "Allow"
}
]
}
```
------
**Instruções**
1. Navegue até o [AWSPremiumSupport-DDoSResiliencyAssessment](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)no AWS Systems Manager console.
1. Selecione **Executar automação**.
1. Você pode usar os seguintes parâmetros de entrada:
+ **AutomationAssumeRole(Opcional):**
O nome do recurso da Amazon (ARN) do perfil do AWS Identity and Access Management (IAM) que permite que o Systems Manager Automation realize ações em seu nome. Se nenhum perfil for especificado, o Systems Manager Automation usa as permissões do usuário que inicia este runbook.
+ **AssessmentType(Opcional):**
Determina o tipo de recursos a serem DDo avaliados para a avaliação de resiliência S. Por padrão, o runbook avalia os recursos globais e regionais.
+ **S3 BucketName (obrigatório):**
O nome do bucket do Amazon S3 para salvar o relatório de avaliação no formato HTML.
+ **S3 BucketOwner (opcional):**
O Conta da AWS ID do bucket Amazon S3 para verificação de propriedade. O Conta da AWS ID é obrigatório se o relatório precisar ser publicado em um bucket do Amazon S3 com várias contas e opcional se o bucket do Amazon S3 estiver no mesmo nível do início da Conta da AWS automação.
+ **S3 BucketPrefix (opcional):**
Qualquer prefixo do caminho dentro do Amazon S3 para armazenar os resultados.
![\[Input parameters form for AWS Systems Manager Automation with fields for role, resources, and S3 bucket settings.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/premsupport-ddos-resiliency-assessment_input_parameters.png)
1. Selecione **Executar**.
1. A automação é iniciada.
1. O bucket realiza as seguintes etapas:
+ **CheckShieldAdvancedState:**
Verifica se o Conta da AWS está inscrito AWS Shield Advanced e se o runbook tem acesso ao bucket do Amazon S3.
+ **S3: BucketSecurityChecks**
Verifica se o bucket do Amazon S3 especificado no “S3BucketName” permite permissões de acesso anônimo ou público de leitura ou gravação, se o bucket tem a criptografia em repouso ativada e se o Conta da AWS ID fornecido no “S3BucketOwner” é o proprietário do bucket do Amazon S3.
+ **BranchOnShieldAdvancedStatus:**
As filiais documentam as etapas com base no status da AWS Shield Advanced assinatura (status de propriedade do and/or Amazon S3 Bucket Ownership).
+ **ShieldAdvancedConfigurationReview:**
Analisa as configurações do Shield Advanced para garantir que os detalhes mínimos necessários estejam presentes. Por exemplo: IAM Access for AWS Shield Response Team Team (SRT), detalhes da lista de contatos e status de engajamento proativo do SRT.
+ **ListShieldAdvancedProtections:**
Lista os recursos protegidos pelo Shield e cria um grupo de recursos protegidos para cada serviço.
+ **BranchOnResourceTypeAndCount:**
Ramifica etapas do documento com base no valor do parâmetro Tipo de recurso e no número de recursos globais protegidos pelo Shield.
+ **ReviewGlobalResources:**
Analisa os recursos globais protegidos pelo Shield Advanced, como zonas hospedadas, CloudFront distribuições e aceleradores globais do Route 53.
+ **BranchOnResourceType:**
Ramifica etapas do documento com base nas seleções do tipo de recurso, se global, regional ou ambas.
+ **ReviewRegionalResources:**
Analisa os recursos regionais protegidos pelo Shield Advanced, como Application Load Balancers, Network Load Balancers, Classic Load Balancers e instâncias do Amazon Elastic Compute Cloud (Amazon EC2) (Elastic). IPs
+ **SendReportToS3:**
Carrega os detalhes do DDo S Assessment Report para o bucket do Amazon S3.
1. Depois de concluído, o URI do arquivo HTML do relatório de avaliação é fornecido no bucket do Amazon S3:
**Link do console S3 e URI do Amazon S3 para o relatório sobre a execução bem-sucedida do runbook**
![\[Execution status showing successful completion with 9 steps executed and no failures.\]](http://docs.aws.amazon.com/pt_br/systems-manager-automation-runbooks/latest/userguide/images/premsupport-ddos-resiliency-assessment_outputs.png)
**Referências**
Automação do Systems Manager
+ [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSPremiumSupport-DDoSResiliencyAssessment)
+ [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Página inicial dos fluxos de trabalho de automação](https://aws.amazon.com/premiumsupport/technology/saw/)
AWS documentação de serviço
+ [AWS Shield Advanced](https://docs.aws.amazon.com//waf/latest/developerguide/ddos-advanced-summary.html)