本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在允許和拒絕的 AWS WAF IP 集上設定 IP 保留
<a name="configure-ip-retention-on-allowed-and-denied-aws-waf-ip-sets"></a>

您可以在解決方案建立的允許和拒絕 AWS WAF IP 集上設定 IP 保留。下列各節說明其運作方式，並提供設定步驟。

## 運作方式
<a name="how-it-works"></a>

 **描述 AWS WAF 允許和拒絕清單和其他 AWS 資源的架構圖** 

![\[ip 保留\]](http://docs.aws.amazon.com/zh_tw/solutions/latest/security-automations-for-aws-waf/images/ip-retention.png)


1. 當使用者更新 （新增或刪除 IP 地址） 允許或拒絕的 WAF IP 集時，此動作會叫用 AWS WAF `UpdateIPSet` API 呼叫並建立事件。

1. [Amazon EventBridge](https://aws.amazon.com/eventbridge/) 事件規則會根據預先定義的事件模式偵測事件，並叫用 Lambda 函數來設定更新後存在於 IP 集中所有 IP 地址的保留期間。

1. Lambda 函數會處理事件、將相關資料擷取至 IP 保留 （例如 IP 集合名稱、ID、範圍、IP 地址），並將其插入 DynamoDB 資料表。它也會為每個 DynamoDB 項目插入`ExpirationTime`屬性。解決方案會將使用者定義的保留期新增至事件時間，以計算到期時間。資料表已開啟 [DynamoDB 串流](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/Streams.html)和[存留時間 (TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/TTL.html)。TTL 屬性為 `ExpirationTime`。

1. 當項目達到過期時間時，會叫用 TTL，且 DynamoDB 會在過期時間後從資料表中刪除項目。刪除項目時，已刪除的項目會新增至 DynamoDB 串流，以叫用 Lambda 函數進行下游處理。

1. Lambda 函數會從 DynamoDB 串流取得已刪除項目的相關資訊，並發出 AWS WAF API 呼叫，以從目標 AWS WAF IP 集中移除項目中包含的過期 IP 地址。

## 開啟 IP 保留
<a name="turn-on-ip-retention"></a>

請依照下列步驟開啟 IP 保留：

1. 在您[部署](deploy-the-solution.md)或[更新的](update-the-solution.md) Cloudformation 堆疊中，輸入**允許 IP 集的 IP 保留期 （分鐘）** 和**遭拒 IP 集的 IP 保留期 （分鐘）**。最短保留期間為 15 分鐘。解決方案會將 `0`和 之間的任何數字`15`視為 `15`。如需部署組態的詳細資訊，請參閱[步驟 1。啟動堆疊](step-1.-launch-the-stack.md)。

1. 如果您想要在從 AWS WAF IP 集移除過期 IP 地址時收到電子郵件通知，請輸入電子郵件地址。如果您選擇接收電子郵件通知，則必須在解決方案成功部署後，使用您收到的電子郵件中的連結來確認訂閱。如需部署組態的詳細資訊，請參閱[步驟 1。啟動堆疊](step-1.-launch-the-stack.md)。

1. 透過新增或刪除 IP 地址來更新 AWS WAF IP 集。這會啟動 IP 保留程序並建立 DynamoDB 項目，包括 IP 過期清單。此過期清單包含更新後存在於 AWS WAF IP 集合中的 IP 地址。

1. 一旦 DynamoDB 項目達到其過期時間並從資料表中刪除，解決方案會從 WAF IP 集刪除項目 IP 過期清單中包含的 IP 地址。

**注意**  
根據 DynamoDB 刪除 TTL 過期項目的時間，從 AWS WAF IP 集過期 IP 地址的實際刪除操作可能會有所不同。DynamoDB TTL 刪除主要取決於資料表的大小和活動層級。由於 DynamoDB 刪除操作中AWS WAF 刪除操作中預期會有延遲。一般而言，解決方案會在 DynamoDB TTL 刪除後不久從 AWS WAF IP 集刪除過期的 IP 地址。如需詳細資訊，請參閱《Amazon [DynamoDB 開發人員指南》中的 DynamoDB 存留時間 (TTL)](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/howitworks-ttl.html)。 * DynamoDB *