2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 3 years have passed since last update.

CloudTechカレンダーAdvent Calendar 2021

Day 21

【AWS Shield】Automatic application layer DDoS mitigationのルールを削除しちゃったら

Last updated at Posted at 2021-12-20

いきなり結論

2から3営業日ほど経過すると設定項目が「Disabled」となりWAFのルールセットに再度追加できるようになります!

「Automatic application layer DDoS mitigation」とは

ざっくり解説

  • AWS Shield Advancedの設定項目の一つ
  • CloudFrontに対して設定が可能
  • AWS WAF(v2)のWeb ACLに対してルールを追加することで利用可能

なぜWAFが登場しているか

  • Automatic application layer DDoS mitigationはCloudFrontに紐づけている or これから紐づけるWAFのWebACLにルールを追加することで機能を発揮する。
  • Automatic application layer DDoS mitigationのWCUは150と少し大きいので注意が必要。
  • オプションでルールセットに個々のIPアドレスが短時間に大量の要求を送信するのを防ぐルールを追加することも推奨されている。
  • レートベースルールのWCUは2程度

Automatic application layer DDoS mitigationで作成されるWAFルールについて深掘り

  • 前述の通りWCUは150と少し大きめ(マネージドルールにしては小さめ)
  • 名前は「ShieldMitigationRuleGroup_account-id_web-acl-id_」から始まる
  • 優先度はデフォルトで10,000,000(変更も可能)

なぜ消してしまったのか

WAFはTerraformで管理していました。
Web ACLのルールはruleブロック内で定義しており、AWSが自動的に追加したルールを未定義のままapply流してしまった(上書きして消してしまった)からです。。。

消してしまったら

一旦落ち着いて、2から3営業日待って再度構築をしましょう。

2
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
2
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?