**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando AWS WAF com a Amazon CloudFront
<a name="cloudfront-features"></a>

Saiba como usar AWS WAF com os CloudFront recursos da Amazon.

Ao criar um pacote de proteção (web ACL), você pode especificar uma ou mais CloudFront distribuições que deseja AWS WAF inspecionar. CloudFront suporta dois tipos de distribuições: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários por meio de um único modelo de configuração compartilhado. AWS WAF inspeciona solicitações da web para os dois tipos de distribuição com base nas regras que você define em seus pacotes de proteção (web ACLs), com padrões de implementação diferentes para cada tipo.

**Topics**
+ [Como AWS WAF funciona com diferentes tipos de distribuição](#cloudfront-features-distribution-types)
+ [Usando AWS WAF com CloudFront planos de preços fixos](#waf-cf-pricing-plans)
+ [Casos de uso comuns para proteger CloudFront distribuições com AWS WAF](cloudfront-waf-use-cases.md)

## Como AWS WAF funciona com diferentes tipos de distribuição
<a name="cloudfront-features-distribution-types"></a>

### Tipos de distribuição
<a name="distribution-types-overview"></a>

AWS WAF fornece recursos de firewall de aplicativos web para distribuições de distribuição CloudFront padrão e multilocatário.

#### Distribuições padrão
<a name="standard-distribution-overview"></a>

Para distribuições padrão, AWS WAF adiciona proteção usando um único pacote de proteção (Web ACL) para cada distribuição. Você pode ativar essa proteção associando um pacote de proteção existente (web ACL) a uma CloudFront distribuição ou usando a proteção de um clique no console. CloudFront Isso possibilita gerenciar os controles de segurança de cada distribuição de modo independente, pois qualquer alteração em um pacote de proteção (ACL da Web) afetará somente a distribuição associada a ele.

Esse método simples de proteger CloudFront distribuições é ideal para fornecer proteções específicas a domínios individuais a partir de um único pacote de proteção (Web ACL).

##### Considerações sobre a distribuição padrão
<a name="standard-waf-considerations"></a>
+ Alterações em um pacote de proteção (ACL da Web) afetam somente a distribuição a ele associada
+ Cada distribuição requer uma configuração de pacote de proteção independente (ACL da Web)
+ As regras e os grupos de regras são gerenciados separadamente para cada distribuição

#### Distribuições multilocatário
<a name="tenant-distribution-overview"></a>

Para distribuições multilocatárias, AWS WAF adiciona proteção em vários domínios usando um único pacote de proteção (Web ACL). Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários da distribuição. Você só pode ativar a AWS WAF proteção para distribuições multilocatárias no CloudFront console, durante ou após o processo de criação da distribuição multilocatária. No entanto, as alterações em um pacote de proteção (Web ACL) ainda são gerenciadas por meio do AWS WAF console ou da API. 

As distribuições multilocatárias oferecem a flexibilidade de permitir AWS WAF proteções em dois níveis:
+ **Nível de distribuição multilocatário** — Os pacotes de proteção associados (web ACLs) fornecem controles de segurança básicos que se aplicam a todos os aplicativos que compartilham essa distribuição
+ **Nível de locatário de distribuição** — inquilinos individuais em uma distribuição multilocatária podem ter seus próprios pacotes de proteção (web ACLs) para implementar controles de segurança adicionais ou substituir as configurações de distribuição multilocatário

Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar AWS WAF proteções em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual. 

#### Considerações sobre a distribuição multilocatária
<a name="tenant-waf-considerations"></a>
+ Locatários de distribuição individuais herdam as alterações feitas nos pacotes de proteção (web ACLs) que estão associados a distribuições multilocatárias relacionadas
+ Os pacotes de proteção (web ACLs) associados a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote de proteção multilocatário (Web ACL)
+ Os grupos de regras gerenciados podem ser implementados no nível da distribuição e no nível do locatário da distribuição
+ É possível localizar nos logs os identificadores de aplicação para rastrear eventos de segurança por distribuição

### AWS WAF recursos por tipo de distribuição
<a name="distribution-types-comparison"></a>


**Comparar implementações de pacote de proteção (ACL da Web)**  

| AWS WAF Característica | Distribuições padrão | Distribuições multilocatárias | 
| --- | --- | --- | 
| Associando pacotes de proteção (web) ACLs | Um único pacote de proteção (ACL da Web) por distribuição | Você pode compartilhar pacotes de proteção (web ACLs) entre locatários, com pacotes de proteção opcionais específicos para inquilinos (web) ACLs | 
| Gerenciamento de regras | As regras afetam uma única distribuição | As regras da distribuição multilocatária afetam todos os locatários associados; as regras da distribuição específica do locatário afetam apenas esse locatário | 
| Grupos de regras gerenciadas | Aplicados a distribuições individuais | Podem ser utilizados no nível da distribuição multilocatária a todos os locatários ou no nível do locatário a aplicações específicas | 
| Registro em log |  AWS WAF Registros padrão | Os logs incluem identificadores de locatários para atribuição de eventos de segurança | 

## Usando AWS WAF com CloudFront planos de preços fixos
<a name="waf-cf-pricing-plans"></a>

CloudFront os planos de preços fixos combinam a rede CloudFront global de entrega de conteúdo (CDN) da Amazon com vários Serviços da AWS recursos em um preço mensal sem cobranças extras, independentemente de picos de tráfego ou ataques.

Os planos de preços fixos incluem o seguinte Serviços da AWS e os recursos por um preço mensal simples:
+ CloudFront CDN
+ AWS WAF e proteção DDo S
+ Gerenciamento e analytics de bots
+ DNS do Amazon Route 53
+ Ingestão CloudWatch de Amazon Logs
+ Certificado TLS
+ Computação de borda sem servidor
+ Créditos mensais de armazenamento do Amazon S3

Os planos estão disponíveis nos níveis Gratuito, Profissional, Negócios e Premium para atender às necessidades da sua aplicação. Os planos não precisam de um compromisso anual para obter as melhores tarifas disponíveis. Comece com o plano gratuito e faça a atualização para ter acesso a mais recursos e maiores limites de uso.

Para obter mais informações e uma lista completa de planos e recursos, consulte os planos [CloudFront de preços fixos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) no *Amazon CloudFront Developer Guide*.

**Importante**  
Um pacote de AWS WAF proteção válido (web ACL) deve permanecer associado à sua CloudFront distribuição ao usar qualquer plano de preços. Você não pode remover a associação do pacote de proteção (Web ACL), a menos que volte aos pay-as-you-go preços.  
Embora uma ACL AWS WAF da web deva permanecer associada à sua distribuição, você mantém controle total sobre sua configuração de segurança. Você pode personalizar sua proteção ajustando quais regras estão ativadas ou desativadas na sua ACL da web e modificar as configurações das regras para que correspondam aos seus requisitos de segurança. Para obter informações sobre como gerenciar regras de ACL da web, consulte [AWS WAF Regras](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).

# Casos de uso comuns para proteger CloudFront distribuições com AWS WAF
<a name="cloudfront-waf-use-cases"></a>

Os AWS WAF recursos a seguir funcionam da mesma forma para todas as CloudFront distribuições. As considerações sobre distribuições multilocatárias estão listadas após cada cenário de atributo.

## Usando AWS WAF com páginas de erro CloudFront personalizadas
<a name="cloudfront-features-custom-error-pages"></a>

Por padrão, quando AWS WAF bloqueia uma solicitação da Web com base nos critérios que você especifica, ela retorna o código de status HTTP `403 (Forbidden)` para CloudFront e CloudFront retorna esse código de status para o visualizador. O visualizador, em seguida, exibirá uma breve mensagem padrão esparsamente formatada, semelhante à seguinte:

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

Você pode substituir esse comportamento nas regras do pacote de AWS WAF proteção (Web ACL) definindo respostas personalizadas. Para obter mais informações sobre como personalizar o comportamento de resposta usando AWS WAF regras, consulte[Como enviar respostas personalizadas para ações Block](customizing-the-response-for-blocked-requests.md).

**nota**  
As respostas que você personaliza usando AWS WAF regras têm precedência sobre qualquer especificação de resposta que você define nas páginas de erro CloudFront personalizadas.

Se você preferir exibir uma mensagem de erro personalizada CloudFront, possivelmente usando a mesma formatação do resto do seu site, você pode configurar CloudFront para retornar ao visualizador um objeto (por exemplo, um arquivo HTML) que contém sua mensagem de erro personalizada.

**nota**  
CloudFront não consigo distinguir entre um código de status HTTP 403 que é retornado pela sua origem e um que é retornado AWS WAF quando uma solicitação é bloqueada. Isso significa que você não pode retornar diferentes páginas de erro personalizadas com base em diferentes causas de um código de status HTTP 403.

Para obter mais informações sobre páginas de erro CloudFront personalizadas, consulte [Geração de respostas de erro personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) no *Amazon CloudFront Developer Guide*.

### Páginas de erros personalizadas em distribuições multilocatárias
<a name="custom-error-pages-template-distributions"></a>

Para distribuições CloudFront multilocatárias, você pode configurar páginas de erro personalizadas das seguintes formas:
+ No nível da distribuição multilocatária: essas configurações se aplicam a todas as distribuições multilocatárias que usam o modelo de distribuição multilocatária
+ Por meio de AWS WAF regras - as respostas personalizadas definidas nos pacotes de proteção (web ACLs) têm precedência sobre a distribuição de vários locatários e sobre as páginas de erro personalizadas em nível de inquilino

## Usando AWS WAF with CloudFront para aplicativos executados em seu próprio servidor HTTP
<a name="cloudfront-features-your-own-http-server"></a>

Ao usar AWS WAF com CloudFront, você pode proteger seus aplicativos em execução em qualquer servidor web HTTP, seja um servidor web executado na Amazon Elastic Compute Cloud (Amazon EC2) ou um servidor web que você gerencia de forma privada. Você também pode configurar CloudFront para exigir HTTPS CloudFront entre seu próprio servidor web, bem como entre visualizadores e. CloudFront

**Exigindo HTTPS entre CloudFront e seu próprio servidor web**  
Para exigir HTTPS entre CloudFront e seu próprio servidor web, você pode usar o recurso de origem CloudFront personalizada e definir a **Política de Protocolo de Origem** e as configurações do **Nome de Domínio de Origem** para origens específicas. Na sua CloudFront configuração, você pode especificar o nome DNS do servidor junto com a porta e o protocolo que você deseja usar CloudFront ao buscar objetos da sua origem. Você também deve garantir que o SSL/TLS certificado em seu servidor de origem personalizado corresponda ao nome de domínio de origem que você configurou. Ao usar seu próprio servidor web HTTP fora do AWS, você deve usar um certificado assinado por uma autoridade de certificação (CA) terceirizada confiável, por exemplo, Comodo ou DigiCert Symantec. Para obter mais informações sobre a exigência de HTTPS para comunicação entre CloudFront e seu próprio servidor web, consulte o tópico [Exigindo HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.

**Exigindo HTTPS entre um visualizador e CloudFront**  
Para exigir HTTPS entre visualizadores e CloudFront, você pode alterar a **Política de Protocolo do Visualizador** para um ou mais comportamentos de cache em sua CloudFront distribuição. Para obter mais informações sobre o uso de HTTPS entre espectadores e CloudFront, consulte o tópico [Exigindo HTTPS para comunicação entre espectadores e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no *Amazon CloudFront Developer Guide*. Você também pode trazer seu próprio certificado SSL para que os espectadores possam se conectar à sua CloudFront distribuição via HTTPS usando seu próprio nome de domínio, por exemplo *https://www.mysite.com*. Para obter mais informações, consulte o tópico [Configurando nomes de domínio alternativos e HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) no *Amazon CloudFront Developer Guide*.

Em distribuições multilocatárias, as configurações de método HTTP seguem esta hierarquia:
+ As configurações no nível de modelo definem os métodos HTTP básicos permitidos para todas as distribuições multilocatárias
+ As distribuições de locatários podem substituir essas configurações para:
  + Permita menos métodos do que a distribuição multilocatária (usando AWS WAF regras para bloquear métodos adicionais)
  + Permitir mais métodos se a distribuição multilocatária estiver configurada para ser compatível com eles
+ AWS WAF as regras nos níveis de distribuição multilocatário e de inquilino podem restringir ainda mais os métodos HTTP, independentemente da configuração CloudFront 

## Escolhendo os métodos HTTP que CloudFront respondem a
<a name="cloudfront-features-allowed-http-methods"></a>

Ao criar uma distribuição CloudFront web da Amazon, você escolhe os métodos HTTP que deseja CloudFront processar e encaminhar para sua origem. Você pode escolher entre as seguintes opções:
+ **`GET`, `HEAD`** — Você pode usar CloudFront somente para obter objetos de sua origem ou para obter cabeçalhos de objetos.
+ **`GET`,`HEAD`, `OPTIONS`** — Você pode usar CloudFront somente para obter objetos da sua origem, obter cabeçalhos de objetos ou recuperar uma lista das opções suportadas pelo seu servidor de origem.
+ **`GET`,`HEAD`,`OPTIONS`,`PUT`,`POST`,`PATCH`, `DELETE`** — Você pode usar CloudFront para obter, adicionar, atualizar e excluir objetos e para obter cabeçalhos de objetos. Além disso, você pode executar outras operações de `POST`, como enviar dados de um formulário da web.

Você também pode usar instruções de regra de correspondência de AWS WAF bytes para permitir ou bloquear solicitações com base no método HTTP, conforme descrito em[Instrução de regra de correspondência de string](waf-rule-statement-type-string-match.md). Se você quiser usar uma combinação de métodos que CloudFront ofereça suporte`HEAD`, como `GET` e, não precisará configurar AWS WAF para bloquear solicitações que usem os outros métodos. Se você quiser permitir uma combinação de métodos que CloudFront não oferece suporte, como,, e `GET` `HEAD``POST`, você pode configurar CloudFront para responder a todos os métodos e, em seguida, usar AWS WAF para bloquear solicitações que usam outros métodos.

Para obter mais informações sobre como escolher os métodos que CloudFront respondem, consulte [Métodos HTTP permitidos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) no tópico [Valores que você especifica ao criar ou atualizar uma distribuição na Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) no *Amazon CloudFront Developer Guide*.

**Configurações de método HTTP permitidas em distribuições multilocatárias**  
Para distribuições multilocatárias, as configurações de método HTTP definidas no nível da distribuição multilocatária se aplicam, por padrão, a todas as distribuições de locatários. As distribuições de locatários podem substituir essas configurações se necessário.
+ Se você quiser usar uma combinação de métodos que CloudFront ofereça suporte, como `GET` e`HEAD`, não é necessário configurar AWS WAF para bloquear solicitações que usam outros métodos.
+ Se você quiser permitir uma combinação de métodos que CloudFront não são compatíveis por padrão, como,, e `GET` `HEAD``POST`, você pode configurar CloudFront para responder a todos os métodos e, em seguida, usar AWS WAF para bloquear solicitações que usam outros métodos.

Ao implementar cabeçalhos de segurança em distribuições multilocatárias, considere o seguinte:
+ Os cabeçalhos de segurança no nível do modelo fornecem proteção básica em todas as distribuições de locatários
+ As distribuições de locatários podem:
  + Adicionar novos cabeçalhos de segurança não definidos na distribuição multilocatária
  + Modificar os valores dos cabeçalhos específicos do locatário
  + Não é possível remover ou substituir os cabeçalhos de segurança definidos no nível da distribuição multilocatária
+ Considere o uso de cabeçalhos do nível da distribuição multilocatária para controles de segurança críticos que devem ser aplicados a todos os locatários

## Considerações sobre tamanho
<a name="cloudfront-features-logging"></a>

As distribuições padrão e multilocatário oferecem suporte à AWS WAF geração de registros, mas há diferenças importantes na forma como os registros são estruturados e gerenciados:


**Comparação entre registros em log**  

| Distribuições padrão | Distribuições multilocatárias | 
| --- | --- | 
| Uma única configuração de log por distribuição | Opções de registro em log no nível do modelo e do locatário | 
| Campos padrão do log | Campos adicionais de identificação de locatário | 
| Um único destino por distribuição | Destinos possivelmente separados para logs de distribuições multilocatárias e logs de locatários | 

## Recursos adicionais do
<a name="cloudfront-saas-additional-resources"></a>
+ *Para saber mais sobre distribuições multilocatárias, consulte [Configurar distribuições no](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) Amazon Developer Guide. CloudFront *
+ Para saber mais sobre como usar AWS WAF com CloudFront, consulte Como [usar a AWS WAF proteção](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.
+ Para saber mais sobre AWS WAF registros, consulte[Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).