いきなり結論
2から3営業日ほど経過すると設定項目が「Disabled」となりWAFのルールセットに再度追加できるようになります!
「Automatic application layer DDoS mitigation」とは
ざっくり解説
- AWS Shield Advancedの設定項目の一つ
- CloudFrontに対して設定が可能
- AWS WAF(v2)のWeb ACLに対してルールを追加することで利用可能
なぜWAFが登場しているか
- Automatic application layer DDoS mitigationはCloudFrontに紐づけている or これから紐づけるWAFのWebACLにルールを追加することで機能を発揮する。
- Automatic application layer DDoS mitigationのWCUは150と少し大きいので注意が必要。
- オプションでルールセットに個々のIPアドレスが短時間に大量の要求を送信するのを防ぐルールを追加することも推奨されている。
- レートベースルールのWCUは2程度
Automatic application layer DDoS mitigationで作成されるWAFルールについて深掘り
- 前述の通りWCUは150と少し大きめ(マネージドルールにしては小さめ)
- 名前は「ShieldMitigationRuleGroup_account-id_web-acl-id_」から始まる
- 優先度はデフォルトで10,000,000(変更も可能)
なぜ消してしまったのか
WAFはTerraformで管理していました。
Web ACLのルールはruleブロック内で定義しており、AWSが自動的に追加したルールを未定義のままapply流してしまった(上書きして消してしまった)からです。。。
消してしまったら
一旦落ち着いて、2から3営業日待って再度構築をしましょう。