**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Configurando AWS Firewall Manager AWS Shield Advanced políticas
Você pode usar AWS Firewall Manager para habilitar AWS Shield Advanced proteções em toda a sua organização.
**Importante**
O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em [Adicionando AWS Shield Advanced proteção aos AWS recursos](configure-new-protection.md).
Para usar o Firewall Manager para habilitar a proteção do Shield Advanced, execute as seguintes etapas em sequência.
**Topics**
+ [Etapa 1: preencher os pré-requisitos](#complete-prereq-fms-shield)
+ [Etapa 2: criar e aplicar uma política do Shield Advanced](#get-started-fms-shield-create-security-policy)
+ [Etapa 3: (opcional) autorizar o Shield Response Team (SRT)](#get-started-fms-shield-authorize-srt)
+ [Etapa 4: Configurando notificações e alarmes do Amazon SNS CloudWatch](#get-started-fms-shield-cloudwatch)
## Etapa 1: preencher os pré-requisitos
Há várias etapas obrigatórias na preparação da conta para o AWS Firewall Manager. Essas etapas estão descritas em [AWS Firewall Manager pré-requisitos](fms-prereq.md). Conclua todos os pré-requisitos antes de prosseguir para [Etapa 2: criar e aplicar uma política do Shield Advanced](#get-started-fms-shield-create-security-policy).
## Etapa 2: criar e aplicar uma política do Shield Advanced
Depois de concluir os pré-requisitos, você cria uma política AWS Firewall Manager Shield Advanced. Uma política do Firewall Manager Shield Advanced contém as contas e os recursos que você deseja proteger com o Shield Advanced.
**Importante**
O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as instruções em [Adicionando AWS Shield Advanced proteção aos AWS recursos](configure-new-protection.md).
**Criar uma política do Firewall Manager para Shield Advanced (console)**
1. Faça login no Console de gerenciamento da AWS usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager em[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).
**nota**
Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).
1. No painel de navegação, escolha **Políticas de segurança**.
1. Escolha **Criar política**.
1. Em **Tipo de política**, escolha **Shield Advanced**.
Para criar uma política do Shield Advanced, sua conta de administrador do Firewall Manager deve ser assinante do Shield Advanced. Se você não estiver inscrito, será solicitado a fazê-lo. Para saber mais sobre o custo, consulte [Definição de preço do AWS Shield Advanced](https://aws.amazon.com/shield/pricing/).
**nota**
Não é necessário inscrever manualmente cada conta de membro no Shield Advanced. O Firewall Manager faz isso por você quando cria a política. Cada conta deve permanecer inscrita no Firewall Manager e no Shield Advanced para continuar protegendo recursos na conta.
1. Para **Região**, escolha um Região da AWS. Para proteger os CloudFront recursos da Amazon, escolha **Global**.
Para proteger recursos em várias regiões (exceto CloudFront recursos), você deve criar políticas separadas do Firewall Manager para cada região.
1. Escolha **Próximo**.
1. Em **Nome**, insira um nome descritivo.
1. (Somente região global) Para políticas de região **global**, você pode escolher se deseja gerenciar a mitigação automática da camada DDo S de aplicativos do Shield Advanced. Para este tutorial, deixe essa opção na configuração padrão de **Ignorar**.
1. Em **Ação de política**, escolha a opção que não corrige automaticamente.
1. Escolha **Próximo**.
1. **Contas da AWS essa política se aplica para** permitir que você restrinja o escopo de sua política especificando contas a serem incluídas ou excluídas. Neste tutorial, selecione **Incluir todas as contas na minha organização**.
1. Escolha os tipos de recurso que você deseja proteger.
O Firewall Manager não é compatível com o Amazon Route 53 ou AWS Global Accelerator. Se você precisar proteger esses recursos com o Shield Advanced, não poderá usar uma política do Firewall Manager. Em vez disso, siga as orientações do Shield Advanced em [Adicionando AWS Shield Advanced proteção aos AWS recursos](configure-new-protection.md).
1. Para **Recursos**, você pode restringir o escopo da política usando marcações, incluindo ou excluindo recursos com as tags que você especificar. Você pode usar inclusão ou exclusão, e não ambas. Para obter informações sobre tags para definir escopos de políticas, consulte [Usando o escopo AWS Firewall Manager da política](policy-scope.md).
As tags de recursos só podem ter valores não nulos. Se você omitir o valor de uma tag, o Firewall Manager salvará a tag com um valor de string vazio: "". As tags de recursos só correspondem às tags que têm a mesma chave e o mesmo valor.
1. Escolha **Próximo**.
1. Em **Tags de política**, adicione quaisquer tags de identificação desejadas para o recurso de política do Firewall Manager. Para obter mais informações sobre tags, consulte [Trabalhar com o Tag Editor](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/tag-editor.html).
1. Escolha **Próximo**.
1. Revise as novas configurações de política e retorne às páginas em que você precise fazer ajustes.
Verifique se as **Ações da política** estão definidas como **Identificar recursos que não estão em conformidade com as regras da política, mas não corrigir automaticamente**. Isso permite que você revise as alterações que sua política faria antes de ativá-las.
1. Quando estiver satisfeito com a política, escolha **Criar política**.
No painel **Políticas do AWS Firewall Manager **, a política deve estar listada. Ela provavelmente estará indicada como **Pendente** nos cabeçalhos de contas e indicará o status da configuração **Correção automática**. A criação de uma política pode levar vários minutos. Depois que o status **Pendente** for substituído por contagens de conta, será possível escolher o nome da política para explorar o status de conformidade das contas e dos recursos. Para saber mais, consulte [Visualizando as informações de conformidade de uma AWS Firewall Manager política](fms-compliance.md)
Avance para [Etapa 3: (opcional) autorizar o Shield Response Team (SRT)](#get-started-fms-shield-authorize-srt).
## Etapa 3: (opcional) autorizar o Shield Response Team (SRT)
Um dos benefícios AWS Shield Advanced é o suporte da Shield Response Team (SRT). Ao experimentar um possível ataque DDo S, você pode entrar em contato com o [AWS Support Centro](https://console.aws.amazon.com/support/home#/). Se necessário, o Atendimento ao Cliente escalará seu problema para a SRT. A SRT ajuda você a analisar as atividades suspeitas e auxilia na atenuação do problema. Essa mitigação geralmente envolve a criação ou atualização de AWS WAF regras e da web ACLs em sua conta. O SRT pode inspecionar sua AWS WAF configuração e criar ou atualizar AWS WAF regras e a web ACLs para você, mas a equipe precisa de sua autorização para fazer isso. Recomendamos que, como parte da configuração AWS Shield Advanced, você forneça proativamente ao SRT a autorização necessária. Fornecer a autorização antecipadamente ajuda a evitar atrasos na atenuação no caso de um ataque real.
Você autoriza e entra em contato com o SRT no nível de conta. Ou seja, o proprietário da conta, não o administrador do Firewall Manager, deve executar as seguintes etapas para autorizar a SRT a atenuar ataques em potencial. O administrador do Firewall Manager poderá autorizar a SRT apenas para contas pertencentes a ele. Da mesma forma, somente o proprietário da conta pode entrar em contato com a SRT para obter suporte.
**nota**
Para usar os serviços da SRT, você deve ser assinante do plano [Business Support](https://aws.amazon.com/premiumsupport/business-support/) ou [Enterprise Support](https://aws.amazon.com/premiumsupport/enterprise-support/).
Para autorizar a SRT a atenuar ataques em potencial em seu nome, siga as instruções em [Resposta gerenciada a eventos DDo S com suporte do Shield Response Team (SRT)](ddos-srt-support.md). Você pode alterar o acesso e as permissões da SRT a qualquer momento usando as mesmas etapas.
Avance para [Etapa 4: Configurando notificações e alarmes do Amazon SNS CloudWatch](#get-started-fms-shield-cloudwatch).
## Etapa 4: Configurando notificações e alarmes do Amazon SNS CloudWatch
Você pode continuar a partir dessa etapa sem configurar notificações CloudWatch ou alarmes do Amazon SNS. No entanto, a configuração desses alarmes e notificações aumenta significativamente sua visibilidade sobre possíveis eventos DDo S.
Você pode monitorar seus recursos protegidos para possíveis atividades DDo S usando o Amazon SNS. Para receber notificação de possíveis ataques, crie um tópico do Amazon SNS para cada região.
**Importante**
As notificações do Amazon SNS sobre possíveis atividades DDo S não são enviadas em tempo real e podem ser adiadas. Além disso, se você exceder a cota do Shield Advanced de 1.000 recursos protegidos para cada tipo de recurso em cada conta, as restrições de desempenho do Firewall Manager podem impedir totalmente a entrega bem-sucedida das notificações de ataque DDo S. Para obter mais informações, consulte [AWS Shield Advanced cotas](shield-limits.md).
Para ativar notificações em tempo real de possíveis atividades do DDo S, você pode usar um CloudWatch alarme. Seu alarme deve ser baseado na métrica `DDoSDetected` da conta na qual o recurso protegido existe.
**Para criar um tópico do Amazon SNS no Firewall Manager (console)**
1. Faça login no Console de gerenciamento da AWS usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager em[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).
**nota**
Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).
1. No painel de navegação, em **AWS FMS**, selecione **Configurações**.
1. Selecione **Create new topic** (Criar novo tópico).
1. Insira o nome do tópico.
1. Insira um endereço de e-mail de destino para as mensagens do Amazon SNS e, em seguida, escolha **Adicionar endereço de e-mail**.
1. Selecione **Update SNS configuration (Atualizar configuração do SNS)**.
### Configurando alarmes da Amazon CloudWatch
O Shield Advanced registra as métricas de detecção, mitigação e principais colaboradores CloudWatch que você pode monitorar. Para obter mais informações, consulte[AWS Shield Advanced métricas](shield-metrics.md). CloudWatch incorre em custos adicionais. Para obter CloudWatch os preços, consulte [Amazon CloudWatch Pricing](https://aws.amazon.com/cloudwatch/pricing/).
Para criar um CloudWatch alarme, siga as instruções em [Usando CloudWatch alarmes da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html). Por padrão, o Shield Advanced é configurado CloudWatch para alertá-lo após apenas um indicador de um possível evento DDo S. Se necessário, você poderá usar o console do CloudWatch para alterar essa configuração para alertá-lo somente após a detecção de vários indícios.
**nota**
Além dos alarmes, você também pode usar um CloudWatch painel para monitorar a atividade potencial DDo de S. O painel coleta e processa dados brutos do Shield Advanced como métricas legíveis, quase em tempo real. Você pode usar estatísticas na Amazon CloudWatch para ter uma perspectiva sobre o desempenho do seu aplicativo ou serviço web. Para obter mais informações, consulte [O que está CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/WhatIsCloudWatch.html) no *Guia CloudWatch do usuário da Amazon*.
Para obter instruções sobre como criar um CloudWatch painel, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). Para saber mais sobre as métricas específicas do Shield Advanced que você pode adicionar ao seu painel, consulte [AWS Shield Advanced métricas](shield-metrics.md).
Depois de concluir a configuração do Shield Advanced, familiarize-se com suas opções para visualizar eventos em [Visibilidade DDo dos eventos S com o Shield Advanced](ddos-viewing-events.md).