Criação de uma web ACL - AWS WAF, AWS Firewall Manager, e AWS Shield Advanced

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Criação de uma web ACL

Para criar uma nova ACL da web, use o assistente de criação de ACL da web seguindo o procedimento encontrado nesta página.

Risco de tráfego de produção

Antes de implantar alterações em sua ACL da web para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testando e ajustando suas AWS WAF proteções.

nota

O uso de mais de 1.500 WCUs em uma ACL da web gera custos além do preço básico da ACL da web. Para obter mais informações, consulte AWS WAF unidades de capacidade web ACL (WCUs) e Definição de preço doAWS WAF.

Para criar uma web ACL
  1. Faça login no AWS Management Console e abra o AWS WAF console em https://console.aws.amazon.com/wafv2/.

  2. Escolha Web ACLs (ACLs da web) no painel de navegação e escolha Create web ACL (Criar ACL da web).

  3. Em Nome, insira o nome que deseja usar para identificar esta ACL da web.

    nota

    Você não pode alterar o nome depois de criar a web ACL.

  4. (Opcional) Em Descrição - opcional, insira uma descrição mais longa para a ACL da web, se desejar.

  5. Em Nome da métrica do CloudWatch , altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métricas reservados para AWS WAF, incluindo “All” e “Default_Action”.

    nota

    Você não pode alterar o nome da CloudWatch métrica depois de criar a Web ACL.

  6. Em Tipo de recurso, escolha a categoria de AWS recurso que você deseja associar a essa ACL da web, CloudFront distribuições da Amazon ou recursos regionais. Para ter mais informações, consulte Associando ou desassociando uma ACL da web com um recurso AWS.

  7. Em Região, se você escolheu um tipo de recurso regional, escolha a região em que deseja armazenar AWS WAF a ACL da web.

    Só é necessário escolher essa opção para tipos de recursos regionais. Para CloudFront distribuições, a região é codificada para a região Leste dos EUA (Norte da Virgínia),us-east-1, para aplicativos globais (). CloudFront

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Para o limite de tamanho de inspeção por solicitação da Web - opcional, se você quiser especificar um limite de tamanho de inspeção corporal diferente, selecione o limite. A inspeção de tamanhos de carroceria acima do padrão de 16 KB pode gerar custos adicionais. Para obter mais informações sobre esta opção, consulte Gerenciando os limites de tamanho da inspeção corporal.

  9. (Opcional) Para AWS Recursos associados - opcional, se você quiser especificar seus recursos agora, escolha Adicionar AWS recursos. Na caixa de diálogo, escolha os recursos que você deseja associar e, em seguida, escolha Adicionar. AWS WAF retorna você para a página Descrever a ACL da web e AWS os recursos associados.

  10. Escolha Próximo.

  11. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add managed rule groups (Adicionar grupos de regras gerenciados). Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

    1. Na página Adicionar grupos de regras gerenciadas, expanda a lista para grupos de regras AWS gerenciadas ou para o AWS Marketplace vendedor de sua escolha.

    2. Para o grupo de regras que você deseja adicionar, ative a alternância Adicionar à web ACL na coluna Ação .

      Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:

      • Substitua as ações da regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Substituições de ações em grupos de regras.

      • Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo. Para obter mais informações sobre esta opção, consulte Instruções de redução de escopo.

      • Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulteAWS Regras gerenciadas para AWS WAF.

      Ao concluir suas configurações, escolha Salvar regra.

    Escolha Add rules (Adicionar regras) para concluir a adição de regras gerenciadas e retornar à página Add rules and rule groups (Adicionar regras e grupos de regras).

  12. (Opcional) Se quiser adicionar seu próprio grupo de regras, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras). Faça o seguinte para cada grupo de regras que você deseja adicionar:

    1. Na página Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras) escolha Rule group (Grupo de regras).

    2. Em Nome, insira o nome que você deseja usar para a regra do grupo de regras nessa ACL da web. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte Grupos de regras fornecidos por outros serviços.

    3. Escolha seu grupo de regras na lista.

      nota

      Se você quiser substituir as ações de regra de um grupo de regras próprio, primeiro salve-as na ACL da Web e, em seguida, edite a ACL da Web e a declaração de referência do grupo de regras na lista de regras da ACL da Web. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciados.

    4. Escolha Adicionar regra.

  13. (Opcional) Se você quiser adicionar sua própria regra, na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Add rules (Adicionar regras), Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras), Rule builder (Construtor de regras), e Editor visual de regras.

    nota

    O console Editor visual de regras oferece suporte a um nível de aninhamento. Por exemplo, você pode usar uma única instrução AND ou OR lógica e aninhar um nível de outras instruções dentro dela, mas você não pode aninhar instruções lógicas dentro de instruções lógicas. Para gerenciar instruções de regra mais complexas, use o Editor JSON de regras. Para obter informações sobre todas as opções de regras, consulte AWS WAF regras.

    Este procedimento abrange o Editor visual de regras.

    1. Em Nome, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com AWS, Shield, PreFM ou PostFM. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

    2. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra AND e OR lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte AWS WAF regras.

    3. Em Action (Ação), selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte Ação da regra e Avaliação de regras da ACL da web e do grupo de regras.

      Se você estiver usando a ação Challenge ou CAPTCHA, ajuste a configuração do Tempo de imunidade conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará da ACL da web. Para modificar as configurações de tempo de imunidade da ACL da web, edite a ACL da web depois de criá-la. Para obter mais informações sobre os tempos de imunidade, consulte Expiração de timestamp: tempos de imunidade do token.

      nota

      São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte Preços doAWS WAF.

      Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para ter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

      Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para ter mais informações, consulte AWS WAF rótulos em solicitações da web.

    4. Escolha Adicionar regra.

  14. Selecione a ação padrão para a web ACL, Block ou Allow. Essa é a ação que AWS WAF ocorre em uma solicitação quando as regras na ACL da web não a permitem ou bloqueiam explicitamente. Para ter mais informações, consulte A ação padrão da ACL da Web.

    Se você quiser personalizar a ação padrão, escolha as opções para isso e preencha os detalhes da sua personalização. Para ter mais informações, consulte Solicitações e respostas personalizadas da web no AWS WAF.

  15. Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas Challenge ações CAPTCHA e pelos SDKs de integração de aplicativos que você implementa ao usar os grupos de regras AWS gerenciadas para controle de AWS WAF fraudes, criação de contas, prevenção de fraudes (ACFP), controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e controle de bots. AWS WAF

    Não são permitidos sufixos públicos. Por exemplo, você não pode usar gov.au ou co.uk como um domínio de token.

    Por padrão, AWS WAF aceita tokens somente para o domínio do recurso protegido. Se você adicionar domínios de token nessa lista, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para ter mais informações, consulte Configurando a lista de domínios de tokens da ACL da web.

  16. Escolha Próximo.

  17. Na página Definir prioridade da regra, selecione e mova suas regras e grupos de regras para a ordem em que você AWS WAF deseja processá-los. AWS WAF processa as regras começando do topo da lista. Quando você salva a ACL da web, o AWS WAF atribui configurações de prioridade numérica às regras, na ordem em que você as listou. Para ter mais informações, consulte Ordem de processamento de regras e grupos de regras em uma ACL da web.

  18. Escolha Próximo.

  19. Na página Configurar métricas, revise as opções e aplique as atualizações necessárias. Você pode combinar métricas de várias fontes fornecendo o mesmo nome de CloudWatch métrica para elas.

  20. Escolha Próximo.

  21. Na página Review and create web ACL (Revisar e criar web ACL) verifique suas definições. Se quiser alterar qualquer área, escolha Edit (Editar) para a área. Isso retorna você à página no assistente de web ACL. Faça quaisquer alterações e, em seguida, escolha Next (Próximo) nas páginas até voltar à página Create web ACL (Revisar e criar web ACL) .

  22. Escolha Criar web ACL. Sua nova web ACL está listada na página Web ACLs .