**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# AWS WAF
<a name="waf-chapter"></a>

AWS WAF é um firewall de aplicativo web que permite monitorar as solicitações HTTP (S) que são encaminhadas para seus recursos protegidos de aplicativos web. É possível proteger os seguintes tipos de recursos: 
+  CloudFront Distribuição da Amazon
+ API REST do Amazon API Gateway
+ Application Load Balancer
+ AWS AppSync API do GraphQL
+ Grupo de usuários do Amazon Cognito
+ AWS App Runner serviço
+ AWS Instância de acesso verificado
+ AWS Amplify

AWS WAF permite que você controle o acesso ao seu conteúdo. Com base nas condições que você especificar, como de quais endereços IP se originam as solicitações ou os valores das strings de consulta, o serviço associado ao seu recurso protegido responde às solicitações com o conteúdo solicitado, um código de status HTTP 403 (proibido) ou uma resposta personalizada. 

**nota**  
Você também pode usar AWS WAF para proteger seus aplicativos hospedados em contêineres do Amazon Elastic Container Service (Amazon ECS). O Amazon ECS é um serviço de gerenciamento de contêineres com alta escalabilidade e rapidez que facilita a execução, a interrupção e o gerenciamento de contêineres do Docker em um cluster. Para usar essa opção, você configura o Amazon ECS para usar um Application Load Balancer que está habilitado AWS WAF para rotear e proteger o tráfego HTTP (S) da camada 7 em todas as tarefas em seu serviço. Para saber mais, consulte [Balanceamento de carga de serviço](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/service-load-balancing.html) no *Guia do desenvolvedor do Amazon Elastic Container Service*.

**Topics**
+ [

# Comece com AWS WAF
](getting-started.md)
+ [

# Como AWS WAF funciona
](how-aws-waf-works.md)
+ [

# Configurando a proteção em AWS WAF
](web-acl.md)
+ [

# AWS WAF regras
](waf-rules.md)
+ [

# AWS WAF grupos de regras
](waf-rule-groups.md)
+ [

# Unidades de capacidade do Web ACL (WCUs) em AWS WAF
](aws-waf-capacity-units.md)
+ [

# Componentes de solicitação da web de tamanho grande em AWS WAF
](waf-oversize-request-components.md)
+ [

# Sintaxe de expressão regular suportada em AWS WAF
](waf-regex-pattern-support.md)
+ [

# Conjuntos de IP e conjuntos de padrões regex em AWS WAF
](waf-referenced-set-managing.md)
+ [

# Solicitações e respostas personalizadas da web em AWS WAF
](waf-custom-request-response.md)
+ [

# Rotulagem de solicitações da Web em AWS WAF
](waf-labels.md)
+ [

# Mitigação inteligente de ameaças em AWS WAF
](waf-managed-protections.md)
+ [

# Proteção de dados e registro do tráfego do pacote de AWS WAF proteção (Web ACL)
](waf-data-protection-and-logging.md)
+ [

# Testando e ajustando suas AWS WAF proteções
](web-acl-testing.md)
+ [

# Usando AWS WAF com a Amazon CloudFront
](cloudfront-features.md)
+ [

# Segurança no uso do AWS WAF serviço
](security.md)
+ [

# AWS WAF cotas
](limits.md)
+ [

# Migrando seus recursos AWS WAF clássicos para AWS WAF
](waf-migrating-from-classic.md)

# Comece com AWS WAF
<a name="getting-started"></a>

 A introdução AWS WAF depende da experiência de console que você usa. Ambas as experiências fornecem acesso à mesma AWS WAF funcionalidade principal, mas diferem na forma como você configura e gerencia as proteções de seus aplicativos web. 

 AWS WAF oferece duas opções para usar o console:

 O **novo console** busca simplificar o processo de configuração da ACL da Web exigido pelos fluxos de trabalho padrão do console. Você pode usar fluxos de trabalho guiados para simplificar o processo de criação e gerenciamento da ACL da Web por meio de um pacote de proteção. Um pacote de proteção facilita o uso e o gerenciamento da Web ACLs no console, mas não é funcionalmente diferente de uma ACL da Web. Além do processo aprimorado de configuração de proteção, o novo console oferece maior visibilidade das proteções por meio de painéis de segurança, facilitando o monitoramento de sua postura de segurança no console do AWS WAF . 

 O ** AWS WAF console padrão** fornece uma abordagem tradicional para configurar as proteções de firewall de aplicativos web usando a web. ACLs Ele oferece controle granular sobre regras individuais e grupos de regras e é familiar aos AWS WAF usuários existentes. Com esse console, você tem controle detalhado de as configurações de proteção, permitindo a personalização precisa das configurações de segurança. 

**dica**  
 Escolha a experiência de console que melhor atenda às suas necessidades. Se você é novato AWS WAF ou deseja começar a configurar proteções com base em AWS recomendações, recomendamos começar com a nova experiência do console. Porém, a experiência padrão está sempre disponível para ser aberta no painel de navegação no console. 

 As seções a seguir fornecem orientações sobre como começar a usar as duas experiências de console. Analise cada abordagem e selecione a que melhor se alinha aos seus requisitos de segurança e preferências operacionais: 

**Topics**
+ [

# Começando a AWS WAF usar a nova experiência do console
](setup-iap-console.md)
+ [

# Introdução ao AWS WAF uso da experiência padrão do console
](setup-existing-console.md)

# Começando a AWS WAF usar a nova experiência do console
<a name="setup-iap-console"></a>

Esta seção orienta você na configuração AWS WAF usando a nova experiência do console, que fornece fluxos de trabalho de configuração simplificados e recursos aprimorados de gerenciamento de segurança.

## Acessar a nova experiência do console
<a name="accessing-iap-console"></a>

Para acessar a nova experiência AWS WAF do console:

Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 
+ No painel de navegação, localize e selecione **Testar a nova experiência**.

**nota**  
Você pode alternar entre as experiências do console a qualquer momento usando o link no painel de navegação.

## Comece com um pacote de proteção (ACL da Web)
<a name="getting-started-protection-packs"></a>

Este tutorial mostra como criar e configurar um pacote de proteção (ACL da Web) para proteger suas aplicações. Os pacotes de proteção (Web ACLs) fornecem regras de segurança pré-configuradas, adaptadas a tipos específicos de carga de trabalho.

Neste tutorial, você aprenderá:
+ Criar um pacote de proteção (ACL da Web)
+ Definir as configurações de proteção específicas da aplicação
+ Adicione AWS recursos para proteger
+ Escolher e personalizar regras
+ Configurar registro em log e monitoramento

**nota**  
AWS normalmente cobra menos de USD 0,25 por dia pelos recursos que você cria durante este tutorial. Quando você tiver terminado, recomendamos excluir os recursos para impedir que cobranças desnecessárias.

### Etapa 1: configurar AWS WAF
<a name="getting-started-prerequisites"></a>

Se você ainda não seguiu as etapas gerais de configuração em [Como configurar sua conta para usar os serviços](setting-up-waf.md), faça isso agora.

### Etapa 2: criar um pacote de proteção (ACL da Web)
<a name="getting-started-create-protection-pack"></a>

Nesta etapa, você criará um pacote de proteção (ACL da Web) e definirá as configurações básicas de acordo com o tipo de aplicação.

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. Na página **Recursos e pacotes de proteção (web ACLs)**, escolha **Adicionar pacote de proteção (web ACL**).

1. Em **Fale sobre sua aplicação**, em **Categoria de aplicação**, selecione uma ou mais categorias de aplicação que melhor descrevam sua aplicação.

1. Em **Origem do tráfego**, escolha o tipo de tráfego que a aplicação trata:
   + **API**: para aplicações somente para API
   + **Web**: para aplicações somente para Web
   + **API e Web**: para aplicações que lidam com os dois tipos de tráfego

### Etapa 3: adicionar os recursos a proteger
<a name="getting-started-add-resources"></a>

Agora, você especificará quais AWS recursos proteger com seu pacote de proteção (Web ACL).

1. Em **Recursos a proteger**, escolha **Adicionar recursos**.

1. Escolha a categoria de AWS recurso a ser associada a esse pacote de proteção (Web ACL):
   +  CloudFront Distribuições da Amazon
   + recursos regionais

   Para saber mais sobre os tipos de recursos, consulte [Associando proteção a um recurso AWS](web-acl-associating.md).

### Etapa 4: escolher as proteções iniciais
<a name="getting-started-configure-protection"></a>

Nesta etapa, você selecionará as regras para seu pacote de proteção (ACL da Web). Para usuários iniciantes, recomendamos escolher a opção **Recomendado**.

AWS WAF gera **Recomendado** para você com base em suas seleções na seção **Conte-nos sobre seu aplicativo**. Esses pacotes implementam as práticas de segurança recomendadas para o tipo de aplicação.
+  Escolha **Avançar** para continuar a configuração do pacote de proteção (ACL da Web).

**nota**  
Se você estiver interessado em criar regras personalizadas ou usar a opção **Você cria**, recomendamos primeiro adquirir experiência com as opções pré-configuradas. Para obter mais informações sobre a criação de pacotes de proteção personalizados (web ACLs) e regras, consulte[Criando um pacote de proteção (web ACL) no AWS WAF](web-acl-creating.md).

### Etapa 5: personalizar as configurações do pacote de proteção (ACL da Web)
<a name="getting-started-customize-settings"></a>

Agora você definirá configurações adicionais, como ações padrão, limites de taxa e registro em log.

1. Em **Nome e descrição**, insira um nome para o pacote de proteção (ACL da Web). Como opção, insira uma descrição.
**nota**  
Você não pode alterar o nome depois de criar o pacote de proteção (ACL da Web).

1. Em **Personalizar pacote de proteção (ACL da Web)**, defina as seguintes configurações:

   1. Em **Ações padrão da regra**, escolha a ação padrão para solicitações que não correspondem a nenhuma regra. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

   1. Em **Configuração da regra**, personalize estas configurações:
      + **Limites de taxa padrão** - Defina limites para se proteger contra ataques DDo S
      + **Endereços IP** - Configurar allow/block listas de IP
      + **Origens específicas do país** : gerenciar acesso por país

   1. Em **Destino de registro em log**, configure onde você deseja armazenar os logs. Para saber mais, consulte [AWS WAF destinos de registro](logging-destinations.md).

1. Revise as configurações e escolha **Adicionar pacote de proteção (ACL da Web).**

### Etapa 6: limpar os recursos
<a name="getting-started-clean-up"></a>

Você concluiu com êxito o tutorial. Para evitar que sua conta acumule AWS WAF cobranças adicionais, você deve excluir o pacote de proteção (Web ACL) que você criou ou modificá-lo para atender às suas necessidades de produção.

**Para excluir seu pacote de proteção (ACL da Web)**

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. Selecione o pacote de proteção (ACL da Web) que criou.

1. Escolha o ícone da lixeira e confirme a exclusão digitando “excluir”.

**nota**  
Se você planeja usar esse pacote de proteção (ACL da Web) na produção, em vez de excluí-lo, revise e ajuste as configurações de proteção para que correspondam aos requisitos de segurança da sua aplicação.

# Introdução ao AWS WAF uso da experiência padrão do console
<a name="setup-existing-console"></a>

O AWS WAF console orienta você no processo de configuração AWS WAF para bloquear ou permitir solicitações da Web com base nos critérios que você especifica, como os endereços IP dos quais as solicitações se originam ou os valores nas solicitações. Nesta etapa, você cria um pacote de proteção (ACL da Web). Para obter mais informações sobre pacotes de AWS WAF proteção (web ACLs), consulte[Configurando a proteção em AWS WAF](web-acl.md).

Este tutorial mostra como usar AWS WAF para realizar as seguintes tarefas:
+ Configurar AWS WAF.
+ Crie uma lista de controle de acesso à web (Web ACL) usando o assistente no AWS WAF console.

**Para criar uma ACL da web**

  1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

  1. Na página AWS WAF inicial, escolha **Create web ACL.** 

  1. Em **Nome**, insira o nome que deseja usar para identificar esta web ACL. 
**nota**  
Você não pode alterar o nome depois de criar a web ACL.

  1. (Opcional) Em **Descrição: opcional**, insira uma descrição mais longa para a web ACL, se desejar. 

  1. Em **Nome da métrica do CloudWatch **, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métrica reservados para o AWS WAF, incluindo “All” e “Default\$1Action”.
**nota**  
Você não pode alterar o nome da CloudWatch métrica depois de criar a Web ACL.

  1. Em **Tipo de recurso**, escolha **CloudFrontdistribuições.** A **região** é preenchida automaticamente como **Global (CloudFront)** para CloudFront distribuições.

  1. (Opcional) Para ** AWS Recursos associados - opcional**, escolha **Adicionar AWS recursos**. Na caixa de diálogo, escolha os recursos que deseja associar e, em seguida, escolha **Adicionar**. O AWS WAF retorna você à página **Descrever web ACL e recursos da AWS associados**. 

  1. Escolha **Próximo**.

**nota**  
AWS normalmente cobra menos de USD 0,25 por dia pelos recursos que você cria durante este tutorial. Quando você tiver concluído o tutorial, recomendamos que exclua os recursos para impedir cobranças desnecessárias. 

## Etapa 1: configurar AWS WAF
<a name="getting-started-aws-account"></a>

Se você ainda não seguiu as etapas gerais de configuração em [Como configurar sua conta para usar os serviços](setting-up-waf.md), faça isso agora.

## Etapa 2: criar uma ACL da Web
<a name="getting-started-wizard-create-web-acl"></a>

O AWS WAF console orienta você no processo de configuração AWS WAF para bloquear ou permitir solicitações da Web com base nos critérios que você especifica, como os endereços IP dos quais as solicitações se originam ou os valores nas solicitações. Nesta etapa, você cria uma web ACL. Para obter mais informações sobre a AWS WAF web ACLs, consulte[Configurando a proteção em AWS WAF](web-acl.md).

**Para criar uma ACL da web**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Na página AWS WAF inicial, escolha **Create web ACL.**

1. Em **Nome**, insira o nome que deseja usar para identificar esta web ACL.
**nota**  
Você não pode alterar o nome depois de criar a web ACL.

1. (Opcional) Em **Descrição: opcional**, insira uma descrição mais longa para a web ACL, se desejar.

1. Em **Nome da métrica do CloudWatch **, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métrica reservados para o AWS WAF, incluindo “All” e “Default\$1Action”.
**nota**  
Você não pode alterar o nome da CloudWatch métrica depois de criar a Web ACL.

1. Em **Tipo de recurso**, escolha **CloudFrontdistribuições.** A **região** é preenchida automaticamente como **Global (CloudFront)** para CloudFront distribuições.

1. (Opcional) Para ** AWS Recursos associados - opcional**, escolha **Adicionar AWS recursos**. Na caixa de diálogo, escolha os recursos que deseja associar e, em seguida, escolha **Adicionar**. O AWS WAF retorna você à página **Descrever web ACL e recursos da AWS associados**.

1. Escolha **Próximo**.

## Etapa 3: adicionar uma regra de correspondência de string
<a name="getting-started-wizard-create-string-condition"></a>

Nesta etapa, você cria uma regra com uma instrução de correspondência de string e indica o que fazer com as solicitações correspondentes. Uma instrução de regra de correspondência de string identifica as strings que você deseja que AWS WAF busque em uma solicitação. Geralmente, uma string consiste em caracteres ASCII imprimíveis, mas você pode especificar qualquer caractere, do hexadecimal 0x00 a 0xFF (decimal 0 a 255). Além de especificar a string a ser pesquisada, você especifica o componente de solicitação da web que deseja pesquisar, como um cabeçalho, uma string de consulta ou o corpo da solicitação. 

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.
**Atenção**  
Se você inspecionar os componentes da solicitação **Body**, **JSON body**, **Headers** ou **Cookies**, leia sobre as limitações de quanto conteúdo AWS WAF pode ser inspecionado. [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md) 

  Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

Para obter informações adicionais sobre AWS WAF regras, consulte[AWS WAF regras](waf-rules.md). 

**Para criar uma instrução de regra de correspondência de string**

1. Na página **Adicionar regras e grupos de regras** escolha **Adicionar regras**, **Adicionar minhas próprias regras e grupos de regras**, **Construtor de regras** e **Editor visual de regras**. 
**nota**  
O console fornece o **Editor visual de regras** e um **Editor JSON de regras**. O editor JSON facilita a cópia de configurações entre a Web ACLs e é necessário para conjuntos de regras mais complexos, como aqueles com vários níveis de aninhamento.   
Este procedimento usa o **Editor visual de regras**. 

1. Em **Nome**, insira o nome que deseja usar para identificar esta regra. 

1. Em **Type (Tipo)**, escolha **Regular rule (Regra regular)**.

1. Para **If a request (Se uma solicitação)**, escolha **matches the statement (corresponder à instrução)**. 

   As outras opções são para os tipos de instrução de regra lógica. Você pode usá-las para combinar ou negar os resultados de outras instruções de regras. 

1. Em **Declaração**, para **Inspecionar**, abra a lista suspensa e escolha o componente de solicitação da web que você deseja AWS WAF inspecionar. Para este exemplo, selecione **Cabeçalho único**.

   Ao escolher **Cabeçalho único**, você também especifica qual cabeçalho o AWS WAF deve inspecionar. Insira **User-Agent**. Esse valor não diferencia maiúsculas de minúsculas.

1. Em **Match type (Tipo de correspondência)**, escolha onde a string especificada deve aparecer no cabeçalho `User-Agent`. 

   Para este exemplo, escolha **Exactly matches string (Correspondência exata)**. Isso indica que AWS WAF inspeciona o cabeçalho do agente de usuário em cada solicitação da web em busca de uma string idêntica à string especificada.

1. Em **String to match (String a corresponder)**, especifique uma string que você deseja que o AWS WAF pesquise. O tamanho máximo de **String to match (String a corresponder)** é 200 caracteres. Se você quiser especificar um valor codificado em base64, poderá especificar até 200 caracteres antes da codificação.

   Para este exemplo, insira **MyAgent**. AWS WAF inspecionará o `User-Agent` cabeçalho nas solicitações da web em busca do valor`MyAgent`.

1. Deixe o campo **Text transformation (Transformação de texto) ** definido como **None (Nenhuma)**. 

1. Em **Ação**, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Neste exemplo, escolha **Contar** e deixe as outras opções como estão. Isso cria métricas para solicitações da web que correspondem à regra, mas não determina se a regra é permitida ou bloqueada. Para saber mais sobre essas opções, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md) e [Definir prioridade das regras](web-acl-processing-order.md).

1. Escolha **Adicionar regra**.

## Etapa 4: Adicionar um grupo de regras de regras AWS gerenciadas
<a name="getting-started-wizard-add-rule-group"></a>

AWS O Managed Rules oferece um conjunto de grupos de regras gerenciados para seu uso, a maioria dos quais é gratuita para AWS WAF os clientes. Para saber mais sobre grupos de regras, consulte [AWS WAF grupos de regras](waf-rule-groups.md). Adicionaremos um grupo de regras de regras AWS gerenciadas a essa ACL da web. 

**Para adicionar um grupo de regras de regras AWS gerenciadas**

1. Na página **Add rules and rule groups (Adicionar regras e grupos de regras)**, escolha **Add rules (Adicionar regras)** e, em seguida, escolha **Add managed rule groups (Adicionar grupos de regras gerenciados)**. 

1. Na página **Add managed rule groups (Adicionar grupos de regras gerenciados)**, expanda a oferta dos **grupos de regras gerenciados do AWS **. (Você também verá anúncios oferecidos para AWS Marketplace vendedores. Você pode assinar suas ofertas e depois usá-las da mesma forma que nos grupos de regras de regras AWS gerenciadas.)

1. Para cada grupo de regras que você deseja adicionar, faça o seguinte: 

   1. Na coluna **Ação**, ative a opção **Adicionar à web ACL**. 

   1. Selecione **Editar** e, na lista de **Regras** do grupo de regras, abra o menu suspenso **Substituir todas as ações de regra** e selecione **Count**. Isso define a ação para todas as regras no grupo somente como contagem. Isso permite que você veja como todas as regras no grupo de regras lidam com suas solicitações da web antes de serem implementadas.

   1. Escolha **Salvar regras**.

1. Na página **Adicionar grupos de regras gerenciadas**, escolha **Adicionar regras**. Isso levará você de volta à página **Adicionar regras e grupos de regras**.

## Etapa 5: concluir a configuração da web ACL
<a name="getting-started-wizard-finish-webacl-options"></a>

Após adicionar regras e grupos de regras à sua configuração da web ACL, a última etapa é definir a prioridade das regras na ACL e outras configurações como métricas, marcação e registro em log. 

**Para concluir a configuração da web ACL**

1. Na página **Add rules and rule groups (Adicionar regras e grupos de regras)**, escolha **Next (Próximo)**. 

1. Na página **Definir prioridade da regra**, você pode ver a ordem de processamento das regras e grupos de regras na ACL da web. AWS WAF os processa começando do topo da lista. Você pode alterar a ordem de processamento movendo as regras para cima e para baixo. Para isso, selecione uma regra na lista e escolha **Move up (Mover para cima)** ou **Move down (Mover para baixo)**. Para saber mais sobre prioridade de regra, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

1. Escolha **Próximo**.

1. Na página **Configurar métricas**, para ** CloudWatchmétricas da Amazon**, você pode ver as métricas planejadas para suas regras e grupos de regras e você pode ver as opções de amostragem de solicitações na web. Para obter informações sobre como visualizar solicitações de exemplo, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 

   Você pode acessar resumos das métricas de tráfego da web na página da ACL da web no AWS WAF console, na guia **Visão geral do tráfego**. Os painéis do console fornecem resumos quase em tempo real das métricas da Amazon da ACL da web. CloudWatch Para obter mais informações, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md). 

1. Escolha **Próximo**.

1. Na página **Review and create web ACL (Revisar e criar web ACL)**, revise as configurações e escolha **Create web ACL (Criar web ACL)**. 

O assistente retorna à página **ACL da Web** na qual sua nova ACL da Web está listada.

## Etapa 6: limpar os recursos
<a name="getting-started-wizard-clean-up"></a>

Você concluiu com êxito o tutorial. Para evitar que sua conta acumule AWS WAF cobranças adicionais, limpe os AWS WAF objetos que você criou. Como alternativa, você pode alterar a configuração para corresponder às solicitações da Web que você realmente deseja gerenciar usando AWS WAF.

**nota**  
AWS normalmente cobra menos de USD 0,25 por dia pelos recursos que você cria durante este tutorial. Quando você tiver terminado, recomendamos excluir os recursos para impedir que cobranças desnecessárias. 

**Para excluir os objetos que AWS WAF cobram**

1. Na página **ACL da Web** selecione sua ACL da Web na lista e escolha **Editar**. 

1. Na guia ** AWS Recursos associados**, para cada recurso associado, selecione o botão de rádio ao lado do nome do recurso e escolha **Desassociar**. Isso desassocia a ACL da web de seus recursos. AWS 

1. Em toda tela a seguir, escolha **Avançar** até retornar à página **ACL da Web** .

   Na página **ACL da Web**, selecione sua ACL da Web na lista e escolha **Excluir**. 

Instruções de regras e regras não existem fora do grupo de regras e definições de web ACL. Ao excluir uma web ACL, você exclui todas as regras individuais definidas nela. Quando você remove um grupo de regras de uma web ACL, só a referência ao grupo é removida. 

# Como AWS WAF funciona
<a name="how-aws-waf-works"></a>

Você usa AWS WAF para controlar como seus recursos protegidos respondem às solicitações da web HTTP (S). Isso é feito por meio da definição de uma lista de controle de acesso (ACL da Web) e sua associação a um ou mais recursos de aplicação da Web que você queira proteger. Os recursos associados encaminham as solicitações recebidas AWS WAF para inspeção pela ACL da web. 

O **novo console** simplifica o processo de configuração da ACL da Web. Ele apresenta pacotes de proteção para agilizar a configuração e, ao mesmo tempo, manter total controle de suas regras de segurança. 

Os pacotes de proteção são o novo local da Web ACLs e simplificam o gerenciamento da ACL da Web no console, mas não alteram a funcionalidade subjacente da ACL da Web. Ao usar o console padrão ou a API, você ainda trabalhará diretamente com a web ACLs.

No pacote de proteção (ACL da Web), você cria regras para definir padrões de tráfego a serem procurados nas solicitações e para especificar as ações a serem tomadas nas solicitações que corresponderem às regras. As opções de ações incluem o seguinte: 
+ Permitir que a solicitação seja encaminhada para o recurso protegido para processamento e resposta. 
+ Bloquear as solicitações. 
+ Contar as solicitações. 
+ Executar o CAPTCHA ou contestar verificações em relação às solicitações para verificar os usuários humanos e o uso do navegador padrão. 

**AWS WAF componentes**  
A seguir estão os componentes centrais de AWS WAF:
+ **web ACLs** — Você usa uma lista de controle de acesso à web (web ACL) para proteger um conjunto de AWS recursos. Você cria uma web ACL e define sua estratégia de proteção adicionando regras. As regras definem critérios para inspecionar solicitações da web e especificam ação a ser tomadem relação a solicitações que correspondam aos critérios. Você também define uma ação padrão para a web ACL que indica se deve bloquear ou permitir qualquer solicitação que as regras ainda não tenham bloqueado ou permitido. Para obter mais informações sobre a web ACLs, consulte[Configurando a proteção em AWS WAF](web-acl.md).

  Uma ACL da web é um AWS WAF recurso.
+ Pacotes de **proteção (Web ACLs)** — No novo console, os pacotes de proteção são o novo local para sua web. ACLs Durante a configuração, você fornece informações sobre seus aplicativos e recursos. AWS WAF recomenda um pacote de proteção adaptado ao seu cenário e, em seguida, cria uma Web ACL que contém regras, grupos de regras e ações definidas pelo pacote de proteção (Web ACL) que você escolher. Para obter mais informações sobre pacotes de proteção (web ACLs), consulte[Configurando a proteção em AWS WAF](web-acl.md).

  Um pacote de proteção (Web ACL) é um AWS WAF recurso.
+ **Regras**: cada regra contém uma instrução que define os critérios de inspeção e uma ação a ser tomada se uma solicitação da web atender aos critérios. Quando uma solicitação da web atende aos critérios, isso é uma correspondência. Você pode configurar regras para bloquear solicitações correspondentes, permitir que elas sejam atendidas, contá-las ou executar Controles de Bots contra elas que usam quebra-cabeças CAPTCHA ou desafios silenciosos do navegador do cliente. Para saber mais sobre regras de , consulte [AWS WAF regras](waf-rules.md). 

  Uma regra não é um AWS WAF recurso. Ela só existe no contexto de um pacote de proteção (ACL da Web) ou de um grupo de regras.
+ **Grupos de regras** — Você pode definir regras diretamente dentro de um pacote de proteção (Web ACL) ou em grupos de regras reutilizáveis. AWS As regras gerenciadas e AWS Marketplace os vendedores fornecem grupos de regras gerenciados para seu uso. Você também pode definir seus próprios grupos de regras. Para saber mais sobre grupos de regras, consulte [AWS WAF grupos de regras](waf-rule-groups.md). 

  Um grupo de regras é um AWS WAF recurso.
+ **unidades de capacidade de ACL da web (WCUs)** — AWS WAF usa WCUs para calcular e controlar os recursos operacionais necessários para executar suas regras, grupos de regras, pacotes de proteção (web ACLs) ou web. ACLs 

  Uma WCU não é um AWS WAF recurso. Só existe no contexto de um pacote de proteção (ACL da Web), de uma regra ou de um grupo de regras.

# Recursos que você pode proteger com AWS WAF
<a name="how-aws-waf-works-resources"></a>

Você pode usar um pacote de AWS WAF proteção (Web ACL) para proteger tipos de recursos globais ou regionais. Isso é feito por meio da associação de um pacote de proteção (ACL da Web) com os recursos que você deseja proteger. O pacote de proteção (Web ACL) e todos AWS WAF os recursos que ele usa devem estar localizados na região em que o recurso associado está localizado. Para CloudFront distribuições da Amazon, isso é definido como Leste dos EUA (Norte da Virgínia).

**CloudFront Distribuições da Amazon**  
Você pode associar um pacote de AWS WAF proteção (web ACL) a uma CloudFront distribuição usando o AWS WAF console ou APIs. Você também pode associar um pacote de proteção (web ACL) a uma CloudFront distribuição ao criar ou atualizar a própria distribuição. Para configurar uma associação em AWS CloudFormation, você deve usar a configuração CloudFront de distribuição. Para obter informações sobre a Amazon CloudFront, consulte [Como usar AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.

AWS WAF está disponível globalmente para CloudFront distribuições, mas você deve usar a Região Leste dos EUA (Norte da Virgínia) para criar seu pacote de proteção (web ACL) e quaisquer recursos usados no pacote de proteção (web ACL), como grupos de regras, conjuntos de IP e conjuntos de padrões regex. Algumas interfaces oferecem uma opção de região de “Global (CloudFront)”. Escolher isso é idêntico a escolher a região Leste dos EUA (N. da Virgínia) ou “us-east-1”.

**recursos regionais**  
Você pode proteger os recursos regionais em todas as regiões em AWS WAF que estiverem disponíveis. Você pode ver a lista em [endpoints e cotas do AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html) no *Referência geral da Amazon Web Services*. 

Você pode usar AWS WAF para proteger os seguintes tipos de recursos regionais: 
+ API REST do Amazon API Gateway
+ Application Load Balancer
+ AWS AppSync API do GraphQL
+ Grupo de usuários do Amazon Cognito
+ AWS App Runner serviço
+ AWS Instância de acesso verificado
+ AWS Amplify

Você só poderá associar um pacote de proteção (ACL da Web) a um Application Load Balancer que esteja nas Regiões da AWS. Por exemplo, você não poderá associar um pacote de proteção (ACL da Web) a um Application Load Balancer que esteja em AWS Outposts.

Você deve criar qualquer pacote de proteção (web ACL) que queira associar a um aplicativo Amplify na CloudFront região global. Talvez você já tenha um pacote de proteção regional (web ACL) no seu Conta da AWS, mas eles não são compatíveis com o Amplify.

O pacote de proteção (Web ACL) e quaisquer outros AWS WAF recursos que ele usa devem estar localizados na mesma região dos recursos protegidos. Ao monitorar e gerenciar solicitações da web para um recurso regional protegido, AWS WAF mantém todos os dados na mesma região do recurso protegido. 

**Restrições às associações de múltiplos recursos**  
Você pode associar um único pacote de proteção (Web ACL) a um ou mais AWS recursos, com as seguintes restrições:
+ Você pode associar cada AWS recurso a apenas um pacote de proteção (Web ACL). A relação entre o pacote de proteção (Web ACL) e AWS os recursos é one-to-many. 
+ Você pode associar um pacote de proteção (web ACL) a uma ou mais CloudFront distribuições. Você não pode associar um pacote de proteção (web ACL) associado a uma CloudFront distribuição a nenhum outro tipo de AWS recurso.

# Trabalhar com a experiência atualizada do console
<a name="working-with-console"></a>

 AWS WAF oferece duas opções para usar o console:

 O **novo console** visa simplificar o processo de configuração da ACL da Web exigido pelos fluxos de trabalho padrão do console. Você pode usar fluxos de trabalho guiados para simplificar o processo de criação e gerenciamento de pacotes de ACLs da Web por meio de um pacote de proteção (ACL da Web). Um pacote de proteção (Web ACL) facilita o uso e o gerenciamento da Web ACLs no console, mas não é funcionalmente diferente de uma ACL da Web. Além do processo aprimorado de configuração de proteção, o novo console oferece maior visibilidade de suas proteções por meio de painéis de segurança, facilitando o monitoramento de sua postura de segurança no console. AWS WAF 

 O ** AWS WAF console padrão** fornece uma abordagem tradicional para configurar as proteções de firewall de aplicativos web usando a web. ACLs Ele oferece controle granular sobre regras individuais e grupos de regras e é familiar aos AWS WAF usuários existentes. Com esse console, você tem controle detalhado de as configurações de proteção, permitindo a personalização precisa das configurações de segurança. 

**dica**  
 Escolha a experiência de console que melhor atenda às suas necessidades. Se você é novato AWS WAF ou deseja começar a configurar as proteções com base nas AWS recomendações, recomendamos começar com a nova experiência do console. Porém, a experiência padrão está sempre disponível para ser aberta no painel de navegação no console. 

## Paridade de atributos entre a nova experiência e a experiência padrão do de console
<a name="feature-parity"></a>

A nova experiência do console mantém a paridade total de atributos com o console existente, ao mesmo tempo em que introduz novos recursos:
+ Todas as AWS WAF funcionalidades existentes permanecem disponíveis
+ Visibilidade aprimorada por meio de painéis unificados
+ Fluxos de trabalho de configuração simplificados
+ Novos modelos de pacote de proteção (ACL da Web)

**Importante**  
A nova experiência do console usa a WAFv2 APIs mesma do console existente. Isso significa que os pacotes de proteção criados no novo console são implementados como WAFv2 web padrão ACLs no nível da API.

## Principais diferenças
<a name="key-differences"></a>


**Comparação das experiências do console**  

| Recurso | Experiência anterior com AWS WAF console | Experiência atualizada do console | 
| --- | --- | --- | 
| Processo de configuração | Fluxo de trabalho de várias páginas | Interface de página única | 
| Configuração de regras | Criação de regras individuais | Opção para pacotes de proteção pré-configurados | 
| Monitoramento  | Painéis separados | Visibilidade unificada, incluindo análise de tráfego de IA | 

## Entender o painel
<a name="understanding-new-dashboard"></a>

Os painéis disponíveis proporcionam visibilidade unificada de sua postura de segurança por meio destas visualizações:

**Recomendações de informações de tráfego** — O AWS Threat Intelligence monitora suas duas semanas anteriores de tráfego permitido, analisa as vulnerabilidades e fornece o seguinte:  
+ Sugestões de regras baseadas no tráfego
+ Recomendações de segurança específicas da aplicação
+ Orientação para otimização da proteção

**Resumo**: mostra as contagens de solicitações de todo o tráfego durante um intervalo de tempo especificado. Você pode usar os seguintes critérios para filtrar dados de tráfego:  
+ **Regra**: filtre pelas regras individuais do pacote de proteção.
+ **Ações**: mostre as contagens de ações específicas realizadas no tráfego, como Permitir, Bloquear, Captcha e Desafio.
+ **Tipo de tráfego** — Mostra somente contagens de tipos específicos de tráfego, como anti- DDo S ou bots.
+ **Intervalo de tempo**: escolha entre os intervalos de tempo predefinidos selecionados ou defina um intervalo personalizado. 
+ **Hora local ou UTC**: você pode definir seu formato de hora preferido.

**Análise de tráfego de IA** — fornece visibilidade abrangente da atividade de bots e agentes de IA:  
+ **Identificação de bots** — nomes, organizações e status de verificação dos bots.
+ **Análise de intenção** — Propósito e padrões de comportamento dos agentes de IA.
+ **Padrões de acesso** — acessados URLs e endpoints com mais frequência.
+ **Tendências temporais** — Padrões de atividade por hora do dia e tendências históricas (0 a 14 dias).
+ **Características do tráfego** — Volume, distribuição e detecção de anomalias para tráfego de IA.

**Atividade de proteção**: visualiza suas regras de proteção e como a ordem delas contribui para ações de encerramento.  
+ **Fluxo de tráfego por meio de suas regras**: mostre o fluxo de tráfego por meio de suas regras. Alterne da **Visão sequencial das regras ** para **Visão não sequencial das regras** para ver como a ordem das regras afeta os resultados.
+ **Ações da regras e seus resultados**: mostra as ações de encerramento que uma regra realizou no tráfego no período especificado. 

**Total de ações**: um gráfico que visualiza o número total de ações realizadas em solicitações durante um intervalo de tempo especificado. Use a opção **Sobrepor as últimas 3 horas** para comparar o intervalo de tempo atual com a janela de 3 horas anterior. É possível filtrar os dados por:   
+ **Ação Permitir**
+ **Total de ações**
+ **Ações de Captcha**
+ **Ações de desafio**
+ **Ações Bloquear**

**Todas as regras**: um gráfico que visualiza as métricas de todas as regras do pacote de proteção.  
+  Use a opção **Sobrepor as últimas 3 horas** para comparar o intervalo de tempo atual com a janela de 3 horas anterior.

**Painel de visão geral**: proporciona uma visão gráfica abrangente do status da segurança, incluindo o seguinte:  
+ **Características do tráfego**: tenha uma visão geral do tráfego por origem, tipos de ataque ou tipo de dispositivo dos clientes que enviaram solicitações.
+ **Características das regras**: um detalhamento dos ataques separados pelas dez regras mais comuns e pelas ações de encerramento.
+ **Bots**: visualize a atividade, a detecção, as categorias de bots e os rótulos de sinais relacionados a bots.
+ **DDoAnti-S** — Uma visão geral da atividade detectada e mitigada da camada 7 DDo S.

# Configurando a proteção em AWS WAF
<a name="web-acl"></a>

Esta página explica o que são pacotes de proteção (web ACLs) e como eles funcionam.

 Um pacote de proteção (ACL da Web) é um recurso que oferece controle detalhado sobre todas as solicitações HTTP(S) da Web às quais o recurso protegido responde. Você pode proteger os recursos da Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner,, AWS Amplify, CloudWatch Amazon AWS e Verified Access.

Você pode usar critérios como os seguintes para permitir ou bloquear solicitações: 
+ Origem do endereço IP da solicitação
+ País de origem da solicitação
+ Correspondência de string ou correspondência de expressão regular (regex) em uma parte da solicitação
+ Tamanho de uma parte específica da solicitação
+ Detecção de código SQL malicioso ou script 

Você também pode testar qualquer combinação dessas condições. Você pode bloquear ou contar solicitações da Web que não apenas atendem às condições especificadas, mas também excedem um determinado número de solicitações em qualquer minuto. Você pode combinar condições usando operadores lógicos. Você também pode executar quebra-cabeças CAPTCHA e desafios silenciosos de sessões de clientes contra solicitações. 

Você fornece seus critérios de correspondência e a ação a ser tomada em relação às correspondências nas declarações de AWS WAF regras. Você pode definir instruções de regras diretamente no pacote de proteção (ACL da Web) e em grupos de regras reutilizáveis usadas no pacote de proteção (ACL da Web). Para obter uma lista completa das opções, consulte [Usando declarações de regras em AWS WAF](waf-rule-statements.md) e [Usando ações de regras em AWS WAF](waf-rule-action.md).

Ao criar um pacote de proteção (ACL da Web), especifique os tipos de recursos com os quais pretende utilizá-lo. Para mais informações, consulte [Criando um pacote de proteção (web ACL) no AWS WAF](web-acl-creating.md). Depois de definir um pacote de proteção (ACL da Web), é possível associá-lo aos seus recursos para começar a fornecer proteção para eles. Para obter mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md). 

**nota**  
Em algumas ocasiões, AWS WAF pode encontrar um erro interno que atrasa a resposta aos AWS recursos associados sobre se deve permitir ou bloquear uma solicitação. Nessas ocasiões, CloudFront normalmente permite a solicitação ou veicula o conteúdo, enquanto os serviços regionais normalmente negam a solicitação e não veiculam o conteúdo.

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

**Topics**
+ [

# Criando um pacote de proteção (web ACL) no AWS WAF
](web-acl-creating.md)
+ [

# Editando um pacote de proteção (web ACL) no AWS WAF
](web-acl-editing.md)
+ [

# Gerenciar o comportamento do grupo de regras
](web-acl-rule-group-settings.md)
+ [

# Associar ou desassociar a proteção a um recurso AWS
](web-acl-associating-aws-resource.md)
+ [

# Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF
](web-acl-processing.md)
+ [

# Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF
](web-acl-default-action.md)
+ [

# Considerações para gerenciar a inspeção corporal em AWS WAF
](web-acl-setting-body-inspection-limit.md)
+ [

# Configurando CAPTCHA, desafio e tokens em AWS WAF
](web-acl-captcha-challenge-token-domains.md)
+ [

# Visualizando métricas de tráfego da web em AWS WAF
](web-acl-working-with.md)
+ [

# Excluir um pacote de proteção (ACL da Web)
](web-acl-deleting.md)

# Criando um pacote de proteção (web ACL) no AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

Esta seção fornece procedimentos para criar pacotes de proteção (web ACLs) por meio do novo AWS console. 

Para criar uma novo pacote de proteção (ACL da Web), use o assistente de criação de pacote de proteção (ACL da Web) seguindo o procedimento nesta página. 

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. Na página **Recursos e pacotes de proteção (web ACLs)**, escolha **Adicionar pacote de proteção (web ACL**).

1. Em **Fale sobre sua aplicação**, em **Categoria de aplicação**, selecione uma ou mais categorias de aplicação.

1. Em **Origem do tráfego**, escolha o tipo de tráfego com o qual a aplicação lida; **API**, **Web** ou **API e Web**.

1. Em **Recursos a proteger**, escolha **Adicionar recursos**.

1. Escolha a categoria de AWS recurso que você deseja associar a esse pacote de proteção (web ACL), CloudFront distribuições da Amazon ou recursos regionais. Para obter mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md). 

1. Em **Escolher proteções iniciais**, selecione seu nível de proteção preferido: **Recomendado**, **Essenciais** ou **Você o cria**. 

1. (Opcional) Se você escolher **Você o cria**, crie suas regras.

   1. (Opcional) Se você quiser adicionar sua própria regra, na página **Adicionar regras**, escolha **Regra personalizada** e, em seguida, escolha **Avançar**.

      1. Selecione o tipo de regra.

      1. Em **Action (Ação)**, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md) e [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

         Se for usar a ação **CAPTCHA** ou **Challenge**, ajuste a configuração **Tempo de imunidade** conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará do pacote de proteção (ACL da Web). Para modificar as configurações de tempo de imunidade do pacote de proteção (ACL da Web), edite o pacote de proteção (ACL da Web) depois de criá-lo. Para saber mais sobre os tempos de imunidade, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

         Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

         Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para saber mais, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

      1. Em **Nome**, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

      1. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra `AND` e `OR` lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte [AWS WAF regras](waf-rules.md). 

      1. Escolha **Criar regra**.
**nota**  
Se você adicionar mais de uma regra a um pacote de proteção (Web ACL), AWS WAF avalia as regras na ordem em que estão listadas para o pacote de proteção (Web ACL). Para obter mais informações, consulte [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

   1. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página **Adicionar regras** escolha **Grupo de regras gerenciadas pela AWS** ou **Grupo de regras do AWS Marketplace** e depois escolha **Avançar**. Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

      1. Na página **Adicionar regras**, expanda a lista para grupos de regras AWS gerenciados ou para o AWS Marketplace vendedor.

      1. Escolha a versão do grupo de regras.

      1. Para personalizar como o pacote de proteção (ACL da Web) usa o grupo de regras, escolha **Editar**. A seguir, são mostradas as configurações de personalização comuns: 
         + Reduza o escopo das solicitações da Web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo na seção **Inspeção**. Para obter mais informações sobre esta opção, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
         + Substitua as ações da regra para algumas ou todas as regras em **Substituições de regra**. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 
         + Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulte[AWS Regras gerenciadas para AWS WAF](aws-managed-rule-groups.md). 

      1. Escolha **Próximo**.

   1. (Opcional) Se você quiser adicionar seu próprio grupo de regras, na página **Adicionar regras**, escolha **Grupo de regras personalizadas** e, em seguida, escolha **Avançar**. Faça o seguinte para cada grupo de regras que você deseja adicionar:

      1. Em **Nome**, insira o nome que você deseja usar para a regra do grupo de regras nesse pacote de proteção (ACL da Web). Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md). 

      1. Escolha seu grupo de regras na lista. 

      1. (Opcional) Em **Configuração de regra**, escolha uma **Substituição de regra**. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

      1. (Opcional) Em **Adicionar rótulos**, escolha **Adicionar rótulo** e, em seguida, insira os rótulos que você deseja adicionar às solicitações que correspondam à regra. As regras que são avaliadas posteriormente no mesmo pacote de proteção (ACL da Web) podem referenciar os rótulos que essa regra adiciona.

      1. Escolha **Criar regra**.

1. Em **Nome e descrição**, insira um nome para o pacote de proteção (ACL da Web). Como opção, insira uma descrição.
**nota**  
Você não pode alterar o nome depois de criar o pacote de proteção (ACL da Web).

1. (Opcional) Em **Personalizar pacote de proteção (ACL da Web)**, configure ações de regras, configurações e destino do registro em log padrão:

   1. (Opcional) Em **Ações de regra padrão**, escolha a ação padrão para o pacote de proteção (ACL da Web). Essa é a ação executada em uma solicitação quando as regras no pacote de proteção (Web ACL) não realizam uma ação explícita. AWS WAF Para obter mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

   1. (Opcional) Em Configuração da regra, personalize as configurações das regras no pacote de proteção (ACL da Web):
      + **Limites de taxa padrão**: defina limites de taxa para bloquear ataques de negação de serviço (DoS) que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos em excesso. Essa regra de taxa bloqueia solicitações por endereço IP que excedem a taxa permitida para a aplicação. Para saber mais, consulte . [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md)
      + **Endereços IP**: insira os endereços IP a serem bloqueados ou permitidos. Essa configuração substitui outras regras.
      + **Origens em país específico**: bloqueie solicitações de países específicos ou conte todo o tráfego.

   1. Em **Destino do registro em log**, configure o tipo de destino de registro em logo e o local para armazenar os logs. Para saber mais, consulte [AWS WAF destinos de registro](logging-destinations.md).

1. Revise as configurações e escolha **Adicionar pacote de proteção (ACL da Web).**

------
#### [ Using the standard console ]

Esta seção fornece procedimentos para criar a web ACLs por meio do AWS console. 

Para criar uma nova web ACL, use o assistente de criação de web ACL seguindo o procedimento encontrado nesta página. 

**Risco de tráfego de produção**  
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para criar uma ACL da web**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **web ACLs** no painel de navegação e, em seguida, escolha **Criar ACL da web**.

1. Em **Nome**, insira o nome que deseja usar para identificar esta web ACL. 
**nota**  
Você não pode alterar o nome depois de criar a web ACL.

1. (Opcional) Em **Descrição: opcional**, insira uma descrição mais longa para a web ACL, se desejar. 

1. Em **Nome da métrica do CloudWatch **, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métricas reservados para AWS WAF, incluindo “All” e “Default\$1Action”.
**nota**  
Você não pode alterar o nome da CloudWatch métrica depois de criar a Web ACL.

1. Em **Tipo de recurso**, escolha a categoria de AWS recurso que você deseja associar a essa ACL da web, CloudFront distribuições da Amazon ou recursos regionais. Para obter mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. Em **Região**, se você escolheu um tipo de recurso regional, escolha a região em que deseja armazenar AWS WAF a ACL da web. 

   Só é necessário escolher essa opção para tipos de recursos regionais. Para CloudFront distribuições, a região é codificada para a região Leste dos EUA (Norte da Virgínia),`us-east-1`, para aplicativos globais (). CloudFront

1. (CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Para o **limite de tamanho de inspeção por solicitação da Web - opcional**, se você quiser especificar um limite de tamanho de inspeção corporal diferente, selecione o limite. Como inspecionar tamanhos de corpo acima do padrão de 16 KB pode gerar custos adicionais. Para obter mais informações sobre esta opção, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md). 

1. (Opcional) Para ** AWS Recursos associados - opcional**, se você quiser especificar seus recursos agora, escolha **Adicionar AWS recursos**. Na caixa de diálogo, escolha os recursos que você deseja associar e escolha **Adicionar**. AWS WAF retorna à página **Descrever a ACL da web e AWS os recursos associados**.
**nota**  
Quando você escolhe associar um Application Load Balancer à sua ACL da web, a proteção S em nível de **recurso é ativada DDo**. Para obter mais informações, consulte [AWS WAF Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md).

1. Escolha **Próximo**.

1. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página **Add rules and rule groups (Adicionar regras e grupos de regras)** escolha **Add rules (Adicionar regras)**, e, em seguida, escolha **Add managed rule groups (Adicionar grupos de regras gerenciados)**. Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

   1. Na página **Adicionar grupos de regras gerenciadas**, expanda a lista para grupos de regras AWS gerenciadas ou para o AWS Marketplace vendedor de sua escolha.

   1. Para o grupo de regras que você deseja adicionar, ative a alternância **Adicionar à web ACL** na coluna **Ação** . 

      Para personalizar como sua web ACL usa o grupo de regras, escolha **Editar**. A seguir, são mostradas as configurações de personalização comuns: 
      + Substitua as ações da regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 
      + Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo. Para obter mais informações sobre esta opção, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
      + Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulte[AWS Regras gerenciadas para AWS WAF](aws-managed-rule-groups.md). 

      Ao concluir as configurações, escolha **Salvar regra**.

   Escolha **Add rules (Adicionar regras)** para concluir a adição de regras gerenciadas e retornar à página **Add rules and rule groups (Adicionar regras e grupos de regras)**.
**nota**  
Se você adicionar mais de uma regra a uma ACL da web, AWS WAF avalia as regras na ordem em que estão listadas para a ACL da web. Para obter mais informações, consulte [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

1. (Opcional) Se quiser adicionar seu próprio grupo de regras, na página **Add rules and rule groups (Adicionar regras e grupos de regras)** escolha **Add rules (Adicionar regras)**, e, em seguida, escolha **Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras)**. Faça o seguinte para cada grupo de regras que você deseja adicionar:

   1. Na página **Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras)** escolha **Rule group (Grupo de regras)**.

   1. Em **Nome**, insira o nome que você deseja usar para a regra do grupo de regras nessa web ACL. Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md). 

   1. Escolha seu grupo de regras na lista. 
**nota**  
Se você quiser substituir as ações de regra de um grupo de regras próprio, primeiro salve-as na ACL da Web e, em seguida, edite a ACL da Web e a instrução de referência do grupo de regras na lista de regras da ACL da Web. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

   1. Escolha **Adicionar regra**.

1. (Opcional) Se você quiser adicionar sua própria regra, na página **Add rules and rule groups (Adicionar regras e grupos de regras)**, escolha **Add rules (Adicionar regras)**, **Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras)**, **Rule builder (Construtor de regras)**, e **Editor visual de regras**. 
**nota**  
O console **Editor visual de regras** oferece suporte a um nível de aninhamento. Por exemplo, você pode usar uma única instrução `AND` ou `OR` lógica e aninhar um nível de outras instruções dentro dela, mas você não pode aninhar instruções lógicas dentro de instruções lógicas. Para gerenciar instruções de regra mais complexas, use o **Editor JSON de regras**. Para obter informações sobre todas as opções de regras, consulte [AWS WAF regras](waf-rules.md).   
Este procedimento abrange o **Editor visual de regras**. 

   1. Em **Nome**, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

   1. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra `AND` e `OR` lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte [AWS WAF regras](waf-rules.md). 

   1. Em **Action (Ação)**, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md) e [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

      Se for usar a ação **CAPTCHA** ou **Challenge**, ajuste a configuração **Tempo de imunidade** conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará da web ACL. Para modificar as configurações de tempo de imunidade da web ACL, edite a web ACL depois de criá-la. Para saber mais sobre os tempos de imunidade, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

      Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

      Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para saber mais, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

   1. Escolha **Adicionar regra**.

1. Selecione a ação padrão para a web ACL, Block ou Allow. Essa é a ação que AWS WAF ocorre em uma solicitação quando as regras na ACL da web não a permitem ou bloqueiam explicitamente. Para obter mais informações, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

   Se você quiser personalizar a ação padrão, escolha as opções para isso e preencha os detalhes da sua personalização. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

1. Você pode definir uma **Lista de domínios de tokens** para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas Challenge ações CAPTCHA e pela integração de aplicativos SDKs que você implementa ao usar os grupos de regras de regras AWS gerenciadas para controle de AWS WAF fraudes, criação de contas, prevenção de fraudes (ACFP), controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e controle de bots. AWS WAF 

   Não são permitidos sufixos públicos. Por exemplo, você não pode usar `gov.au` ou `co.uk` como um domínio de token.

   Por padrão, AWS WAF aceita tokens somente para o domínio do recurso protegido. Se você adicionar domínios de token nessa lista, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

1. Escolha **Próximo**.

1. Na página **Definir prioridade da regra**, selecione e mova suas regras e grupos de regras para a ordem em que você AWS WAF deseja processá-los. AWS WAF processa regras começando do topo da lista. Quando você salva a web ACL, o AWS WAF atribui configurações de prioridade numérica às regras, na ordem em que você as listou. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

1. Escolha **Próximo**.

1. Na página **Configurar métricas**, revise as opções e aplique as atualizações necessárias. Você pode combinar métricas de várias fontes fornecendo o mesmo **nome de CloudWatch métrica** para elas. 

1. Escolha **Próximo**.

1. Na página **Review and create web ACL (Revisar e criar web ACL)** verifique suas definições. Se quiser alterar qualquer área, escolha **Edit (Editar)** para a área. Isso retorna você à página no assistente de web ACL. Faça quaisquer alterações e, em seguida, escolha **Next (Próximo)** nas páginas até voltar à página **Create web ACL (Revisar e criar web ACL)** .

1. Escolha **Criar web ACL**. Sua nova ACL da web está listada na ACLs página da **web**.

------

# Editando um pacote de proteção (web ACL) no AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

Esta seção fornece procedimentos para edição de pacotes de proteção (web ACLs) por meio do AWS console. 

Para adicionar ou remover regras de um pacote de proteção (ACL da Web) ou alterar as definições de configuração, acesse o pacote de proteção (ACL da Web) usando o procedimento desta página. Ao atualizar um pacote de proteção (Web ACL), AWS WAF fornece cobertura contínua aos recursos que você associou ao pacote de proteção (Web ACL). 

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para editar um pacote de proteção (ACL da Web)**

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. Edite o pacote de proteção (ACL da Web) conforme necessário. 

   A seguir estão listados os componentes editáveis da configuração do pacote de proteção (ACL da Web). 

   Esta seção fornece procedimentos para edição da web ACLs por meio do AWS console. 

   Para adicionar ou remover regras de uma web ACL ou alterar as definições de configuração, acesse a web ACL usando o procedimento desta página. Ao atualizar uma ACL da web, AWS WAF fornece cobertura contínua aos recursos que você associou à ACL da web. 

**Risco de tráfego de produção**  
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

------
#### [ Using the standard console ]

Esta seção fornece procedimentos para edição da web ACLs por meio do AWS console. 

Para adicionar ou remover regras de uma web ACL ou alterar as definições de configuração, acesse a web ACL usando o procedimento desta página. Ao atualizar uma ACL da web, AWS WAF fornece cobertura contínua aos recursos que você associou à ACL da web. 

**Risco de tráfego de produção**  
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para editar uma web ACL**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Escolha o nome da web ACL a ser editada. O console leva você para a descrição da web ACL. 

1. Edite a web ACL, conforme necessário. Escolha as guias das áreas de configuração de seu interesse e edite as configurações mutáveis. Para cada configuração que você edita, ao escolher **Salvar** e retornar à página de descrição da web ACL, o console salva suas alterações na web ACL. 

   A seguir estão listadas as guias que contêm componentes de configuração de web ACL. 
   + Guia **Regras**
     + **Regras definidas na ACL da Web**: você pode editar e gerenciar as regras que você definiu na ACL da Web da mesma forma que fez durante a criação da ACL da Web. 
**nota**  
Não altere os nomes de nenhuma regra que você não tenha adicionado manualmente à sua web ACL. Se você estiver usando outros serviços para gerenciar regras para você, alterar seus nomes pode remover ou diminuir a capacidade deles de fornecer as proteções pretendidas. AWS Shield Advanced e AWS Firewall Manager ambos podem criar regras em sua ACL da web. Para mais informações, consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md).
**nota**  
Se você alterar o nome de uma regra e quiser que o nome da métrica da regra reflita a alteração, você também deverá atualizar o nome da métrica. AWS WAF não atualiza automaticamente o nome da métrica de uma regra quando você altera o nome da regra. Você pode alterar o nome da métrica ao editar a regra no console, usando o editor JSON de regras. Você também pode alterar os dois nomes por meio de APIs e em qualquer listagem JSON usada para definir seu pacote de proteção (Web ACL) ou grupo de regras.

       Para obter informações sobre regras e configurações de grupos de regras, consulte [AWS WAF regras](waf-rules.md) e [AWS WAF grupos de regras](waf-rule-groups.md).
     + **Unidades de capacidade de regras da ACL da Web usadas**: o uso atual da capacidade do pacote de proteção (ACL da Web). Isso é somente para visualização. 
     + **Ação padrão da web ACL para solicitações que não correspondem a nenhuma regra**: para obter informações sobre essa configuração, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md). 
     + **Configurações de CAPTCHA e desafio do pacote de proteção (ACL da Web)**: esses tempos de imunidade determinam por quanto tempo um CAPTCHA ou token de desafio permanece válido após ser adquirido. Você só pode modificar essa configuração aqui, depois de criar a web ACL. Para saber mais sobre essas configurações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
     + **Lista de domínios de** tokens — AWS WAF aceita tokens para todos os domínios da lista e para o domínio do recurso associado. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).
   + Aba de ** AWS recursos associados**
     + **Limite de tamanho de inspeção de solicitações** da Web — Incluído somente para sites ACLs que protegem CloudFront distribuições. O limite de tamanho da inspeção do corpo determina quanto do componente do corpo é encaminhado AWS WAF para inspeção. Para saber mais sobre essa configuração, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md).
     + **recursos associados da AWS **: a lista de recursos aos quais a web ACL está atualmente associada e protegendo. Você pode localizar recursos que estão na mesma região da web ACL e associá-los à web ACL. Para saber mais, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).
   + Guia **Corpos de resposta personalizados**
     + Corpos de resposta personalizados que estão disponíveis para uso por suas regras de web ACL que têm a ação definida como Block. Para saber mais, consulte [Como enviar respostas personalizadas para ações Block](customizing-the-response-for-blocked-requests.md).
   + Guia **Logs e métricas**
     + **Logs**: logs do tráfego que a web ACL avalia. Para mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).
     + **Integração com o Security Lake**: o status das coletas de dados que você configurou para o pacote de proteção (ACL da Web) no Amazon Security Lake. Para obter informações, consulte [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
     + **Solicitações amostradas**: informações sobre as regras que correspondem às solicitações da web. Para obter informações sobre como visualizar solicitações de exemplo, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md).
     + **Configurações de proteção de dados** — Você pode configurar a redação e a filtragem de dados de tráfego da Web para todos os dados disponíveis para a ACL da Web e apenas para os dados que eles AWS WAF enviam para o destino de registro da ACL da Web configurado. Para obter mais informações sobre a proteção de dados, consulte [Proteção de dados e registro do tráfego do pacote de AWS WAF proteção (Web ACL)](waf-data-protection-and-logging.md). 
     + **CloudWatch métricas** — Métricas para as regras em sua ACL da web. Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

------

# Gerenciar o comportamento do grupo de regras
<a name="web-acl-rule-group-settings"></a>

Esta seção descreve suas opções para modificar o modo como você usa um grupo de regras no pacote de proteção (ACL da Web). Essas informações se aplicam a todos os tipos de grupos de regras. Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), você pode substituir as ações das regras individuais no grupo de regras por Count ou para qualquer outra configuração de ação de regra válida. Você também pode substituir a ação resultante do grupo de regras para Count, o que não tem efeito sobre como as regras são avaliadas dentro do grupo de regras. 

Para saber mais sobre essas opções, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md).

## Substituir ações de regra para um grupo de regras
<a name="web-acl-rule-group-rule-action-override"></a>

Para cada grupo de regras em um pacote de proteção (ACL da Web), você pode substituir as ações da regra contida, definindo a ação para todas ou algumas das regras. 

O caso de uso mais comum para isso é substituir as ações da regra para Count para testar regras novas ou atualizadas. Se você tiver métricas habilitadas, receberá métricas para cada regra que você substituir. Para ter mais informações sobre armazenamento, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

Você pode fazer essas alterações ao adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web) e pode fazê-las em qualquer tipo de grupo de regras ao editar o pacote de proteção (ACL da Web). Essas instruções são para um grupo de regras que já foi adicionado ao pacote de proteção (ACL da Web). Veja as informações adicionais sobre essa opção em [Substituições de ações de regras de grupos de regras](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).

------
#### [ Using the new console ]

**Para substituir ações de regra para um grupo de regras**

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Regras** para abrir o painel **Gerenciar regras**.

1. Na seção **Gerenciar regras** do grupo de regras, escolha a regra gerenciada para abrir as configurações de ação.
   + **Substituir grupo de regras**: altera a ação do grupo de regras para o modo Contagem, mas mantém todas as ações de regras individuais inalteradas.
   + **Substituir todas as ações de regra**: aplica uma ação de regra a todas as regras, substituindo seu estado atual.
   + **Substituição de regra única**: aplica uma ação de regra a uma regra individual.

1. Quando terminar de fazer as alterações, escolha **Salvar regra**. 

------
#### [ Using the standard console ]

**Para substituir ações de regra para um grupo de regras**

1. Edite a web ACL. 

1. Na guia **Regras** na página da web ACL, selecione o grupo de regras e escolha **Editar**. 

1. Na seção **Regras** do grupo de regras, gerencie as configurações de ação conforme necessário. 
   + **Todas as regras**: para definir uma ação de substituição para todas as regras no grupo de regras, abra o menu suspenso **Substituir todas as ações de regra** e selecione a ação de substituição. Para remover as substituições de todas as regras, selecione **Remover todas as substituições**. 
   + **Regra única**: para definir uma ação de substituição para uma única regra, abra a lista suspensa da regra e selecione a ação de substituição. Para remover a substituição de uma regra, abra a lista suspensa da regra e selecione **Remover substituição**.

1. Quando terminar de fazer as alterações, escolha **Salvar regra**. As configurações de ação de regra e ação de substituição estão listadas na página do grupo de regras. 

------

O exemplo de listagem JSON a seguir mostra uma instrução de grupo de regras em um pacote de proteção (ACL da Web) que substitui as ações de regra por Count para as regras `CategoryVerifiedSearchEngine` e `CategoryVerifiedSocialMedia`. No JSON, você substitui todas as ações da regra fornecendo uma entrada `RuleActionOverrides` para cada regra individual.

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## Substituição do resultado da avaliação de um grupo de regras para Count
<a name="web-acl-rule-group-action-override"></a>

Você pode substituir a ação resultante da avaliação de um grupo de regras sem alterar a forma como as regras do grupo de regras são configuradas ou avaliadas. Essa opção não é comumente usado. Se alguma regra no grupo de regras resultar em uma correspondência, essa substituição definirá a ação resultante do grupo de regras como Count.

**nota**  
Esse é um caso de uso incomum. A maioria das substituições de ações é feita no nível da regra, dentro do grupo de regras, conforme descrito em [Substituir ações de regra para um grupo de regras](#web-acl-rule-group-rule-action-override).

Você pode substituir a ação resultante do grupo de regras no pacote de proteção (ACL da Web) ao adicionar ou editar o grupo de regras. No console, abra o painel **Substituir ação do grupo de regras: opcional** do grupo de regras e habilite a substituição. No JSON, defina `OverrideAction` na instrução de grupo de regras, conforme mostrado no seguinte exemplo de lista: 

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# Associar ou desassociar a proteção a um recurso AWS
<a name="web-acl-associating-aws-resource"></a>

Você pode usar AWS WAF para criar as seguintes associações entre pacotes de proteção (web ACLs) e seus recursos: 
+ Associe um pacote de proteção (ACL da Web) regional a qualquer um dos recursos regionais listados abaixo. Para essa opção, o pacote de proteção (ACL da Web) deve estar na mesma região que seu recurso. 
  + API REST do Amazon API Gateway
  + Application Load Balancer
  + AWS AppSync API do GraphQL
  + Grupo de usuários do Amazon Cognito
  + AWS App Runner serviço
  + AWS Instância de acesso verificado
  + AWS Amplify
+ Associe um pacote de proteção global (web ACL) a uma CloudFront distribuição da Amazon. O pacote de proteção (ACL da Web) global terá a região Leste dos EUA (Norte da Virgínia) como região de codificação rígida.

Você também pode associar um pacote de proteção (web ACL) a uma CloudFront distribuição ao criar ou atualizar a própria distribuição. Para obter informações, consulte Como [usar AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.

**Restrições às associações múltiplas**  
Você pode associar um único pacote de proteção (web ACL) a um ou mais AWS recursos, de acordo com as seguintes restrições:
+ Você pode associar cada AWS recurso a apenas um pacote de proteção (Web ACL). A relação entre o pacote de proteção (Web ACL) e AWS os recursos é one-to-many. 
+ Você pode associar um pacote de proteção (web ACL) a uma ou mais CloudFront distribuições. Você não pode associar um pacote de proteção (web ACL) associado a uma CloudFront distribuição a nenhum outro tipo de AWS recurso.

**Restrições adicionais**  
As seguintes restrições adicionais se aplicam a associações de pacote de proteção (ACL da Web): 
+ Você só pode associar um pacote de proteção (ACL da Web) a um Application Load Balancer nas Regiões da AWS. Por exemplo, você não pode associar um pacote de proteção (ACL da Web) a um Application Load Balancer que esteja no AWS Outposts.
+ Você não pode associar um grupo de usuários do Amazon Cognito a um pacote de proteção (web ACL) que usa o grupo de regras gerenciadas de prevenção de AWS WAF fraudes na criação de contas do Fraud Control (ACFP) `AWSManagedRulesACFPRuleSet` ou o grupo de regras gerenciadas de prevenção de aquisição de contas do AWS WAF Fraud Control (ATP). `AWSManagedRulesATPRuleSet` Para obter informações sobre prevenção de fraudes na criação de contas, consulte [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md). Para obter informações sobre prevenção de apropriação de contas, consulte [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md). 

**Risco de tráfego de produção**  
Antes de implantar o pacote de proteção (ACL da Web) para tráfego de produção, teste-o e ajuste-o em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

# Associando proteção a um recurso AWS
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Recursos** para abrir o painel **Gerenciar recursos**.

1. Na seção **Gerenciar recursos** do grupo de regras, escolha **Adicionar recursos regionais** ou **Adicionar recursos globais**.

1. Escolha os recursos e selecione **Adicionar**.

------
#### [ Using the standard console ]

Para associar uma Web ACL a um AWS recurso, execute o procedimento a seguir.

**Para associar uma ACL da web a um recurso AWS**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Escolha o nome da web ACL que deseja associar a um recurso. O console leva você para a descrição da web ACL, onde é possível editá-la.

1. Na guia ** AWS Recursos associados**, escolha **Adicionar AWS recursos**.

1. Quando solicitado, selecione o tipo de recurso, selecione o botão de opção ao lado do recurso que você deseja associar e depois selecione **Adicionar**. 

------

# Desassociando uma proteção de um recurso AWS
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Recursos** para abrir o painel **Gerenciar recursos**.

1. Na seção **Gerenciar recursos** do grupo de regras, escolha o recurso que você deseja desassociar e, em seguida, escolha **Desassociar**.
**nota**  
Você deve desassociar um recurso por vez. Não escolha vários recursos. 

1. Na página de confirmação, digite “desassociar” e escolha **Desassociar**.

------
#### [ Using the standard console ]

Para dissociar uma Web ACL de um AWS recurso, execute o procedimento a seguir.

**Para desassociar uma Web ACL de um recurso AWS**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Escolha o nome da web ACL que deseja dissociar de seu recurso. O console leva você para a descrição da web ACL, onde é possível editá-la.

1. Na guia ** AWS Recursos associados**, selecione o recurso do qual você deseja desassociar essa Web ACL. 
**nota**  
Você deve desassociar um recurso por vez. Não escolha vários recursos. 
**nota**  
Quando você escolhe associar um Application Load Balancer à sua WebACL, a proteção S em nível de **recurso DDo** é ativada. Para obter mais informações, consulte [AWS WAF Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md).

1. Escolha **Desassociar**. O console abre um diálogo de confirmação. Confirme sua opção de desassociar a Web ACL do AWS recurso. 

------

# Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF
<a name="web-acl-processing"></a>

Esta seção apresenta como os pacotes de proteção (web ACLs) e a web ACLs funcionam com regras e grupos de regras.

A maneira como um pacote de proteção (ACL da Web) trata uma solicitação da Web depende do seguinte: 
+ As configurações de prioridade numérica das regras no pacote de proteção (ACL da Web) e dentro dos grupos de regras
+ As configurações de ação nas regras e no pacote de proteção (ACL da Web)
+ Todas as substituições que você colocar nas regras e grupos de regras que você adicionar

Para obter uma lista das configurações de ação de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

Agora você pode personalizar o tratamento das solicitações e respostas nas configurações de ação da regra e nas configurações de ação padrão do pacote de proteção (ACL da Web). Para mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

**Topics**
+ [

# Definir prioridade das regras
](web-acl-processing-order.md)
+ [

# Como AWS WAF lida com as ações de regras e grupos de regras
](web-acl-rule-actions.md)
+ [

# Substituindo ações do grupo de regras em AWS WAF
](web-acl-rule-group-override-options.md)

# Definir prioridade das regras
<a name="web-acl-processing-order"></a>

Esta seção explica como AWS WAF usa as configurações de prioridade numérica para definir a ordem de avaliação das regras.

Em um pacote de proteção (ACL da Web) e em qualquer grupo de regras, você determina a ordem de avaliação das regras usando configurações de prioridade numérica. Você deve atribuir a cada regra em um pacote de proteção (ACL da Web) uma configuração de prioridade exclusiva dentro desse pacote de proteção (ACL da Web) e deve dar a cada regra em um grupo de regras uma configuração de prioridade exclusiva dentro desse grupo de regras. 

**nota**  
Quando você gerencia grupos de regras, os pacotes de proteção (web ACLs) por meio do console AWS WAF atribuem configurações de prioridade numérica exclusivas para você com base na ordem das regras na lista. AWS WAF atribui a prioridade numérica mais baixa à regra na parte superior da lista e a prioridade numérica mais alta à regra na parte inferior. 

Ao AWS WAF avaliar qualquer grupo de regras, pacote de proteção (web ACL) em relação a uma solicitação da web, ele avalia as regras desde a configuração de prioridade numérica mais baixa até encontrar uma correspondência que encerre a avaliação ou esgote todas as regras.

Por exemplo, digamos que você tenha as seguintes regras e grupos de regras em seu pacote de proteção (ACL da Web), priorizados conforme mostrado:
+ Regra1: prioridade 0
+ RuleGroupA — prioridade 100
  + RegraA1: prioridade 10.000
  + RegraA2: prioridade 20.000
+ Regra2: prioridade 200
+ RuleGroupB — prioridade 300
  + RegraB1: prioridade 0
  + RegraB2: prioridade 1

AWS WAF avaliaria as regras desse pacote de proteção (web ACL) na seguinte ordem:
+ Rule1
+ RuleGroupUma regra A1
+ RuleGroupUma regra A2
+ Rule2
+ RuleGroupPor RuleB1
+ RuleGroupPor RuleB2

# Como AWS WAF lida com as ações de regras e grupos de regras
<a name="web-acl-rule-actions"></a>

Esta seção explica como AWS WAF usa regras e grupos de regras para lidar com ações.

Ao configurar suas regras e grupos de regras, você escolhe como deseja AWS WAF lidar com as solicitações da web correspondentes: 
+ **Allow e Block são ações de encerramento**: as ações Allow e Block interrompem todos os outros processamentos do pacote de proteção (ACL da Web) na solicitação da Web correspondente. Se uma regra em um pacote de proteção (web ACL) encontrar uma correspondência para uma solicitação e a ação da regra for Allow ouBlock, essa correspondência determinará a disposição final da solicitação da web para o pacote de proteção (web ACL). AWS WAF não processa nenhuma outra regra no pacote de proteção (web ACL) que vem depois da correspondente. Isso é verdadeiro para as regras que você adiciona diretamente ao pacote de proteção (ACL da Web) e para as regras dentro de um grupo de regras adicionado. Com a ação Block, o recurso protegido não recebe nem processa a solicitação da web.
+ **Count não é uma ação de encerramento**: quando uma regra com uma ação Count corresponde a uma solicitação, o AWS WAF conta a solicitação e, em seguida, continua processando as regras que vêm a seguir no conjunto de regras do pacote de proteção (ACL da Web). 
+ **CAPTCHAe Challenge podem ser ações de encerramento ou encerramento** — quando uma regra com uma dessas ações corresponde a uma solicitação, AWS WAF verifica o status do token. Se a solicitação tiver um token válido, AWS WAF tratará a correspondência de forma semelhante a uma Count correspondência e, em seguida, continuará processando as regras que seguem o conjunto de regras do pacote de proteção (Web ACL). Se a solicitação não tiver um token válido, AWS WAF encerra a avaliação e envia ao cliente um quebra-cabeça CAPTCHA ou um desafio silencioso de uma sessão de cliente em segundo plano para resolver. 

Se a avaliação da regra não resultar em nenhuma ação de encerramento, AWS WAF aplique a ação padrão do pacote de proteção (Web ACL) à solicitação. Para mais informações, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

No pacote de proteção (ACL da Web), você pode substituir as configurações de ação das regras de um grupo de regras e substituir a ação retornada por um grupo de regras. Para mais informações, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 

**Interação entre ações e configurações de prioridade**  
As ações que AWS WAF se aplicam a uma solicitação da web são afetadas pelas configurações de prioridade numérica das regras no pacote de proteção (Web ACL). Por exemplo, digamos que o pacote de proteção (ACL da Web) tenha uma regra com ação Allow e uma prioridade numérica de 50 e outra regra com a ação Count e uma prioridade numérica de 100. O AWS WAF avalia as regras em um pacote de proteção (ACL da Web) na ordem de prioridade, começando pela configuração mais baixa, então ele avaliará a regra de permissão antes da regra de contagem. Uma solicitação da web que corresponda às duas regras corresponderá primeiro à regra de permissão. Como Allow é uma ação de encerramento, AWS WAF interromperá a avaliação nesta partida e não avaliará a solicitação de acordo com a regra de contagem. 
+ Se você quiser incluir apenas solicitações que não correspondam à regra de permissão nas métricas da regra de contagem, as configurações de prioridade das regras funcionarão. 
+ Por outro lado, se você quiser contar métricas da regra de contagem, mesmo para solicitações que correspondam à regra de permissão, precisará atribuir à regra de contagem uma configuração de prioridade numérica menor do que a regra de permissão, para que ela seja executada primeiro. 

Para saber mais sobre configurações de prioridade, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

# Substituindo ações do grupo de regras em AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Esta seção explica como substituir ações de grupos de regras.

Ao adicionar um grupo de regras ao pacote de proteção (ACL da Web), você pode substituir as ações que ele executa nas solicitações da Web que correspondem. Substituir as ações de um grupo de regras dentro da configuração do pacote de proteção (ACL da Web) não altera o grupo de regras em si. Ele só altera a forma como o grupo de regras é AWS WAF usado no contexto do pacote de proteção (Web ACL). 

## Substituições de ações de regras de grupos de regras
<a name="web-acl-rule-group-override-options-rules"></a>

Você pode substituir as ações das regras dentro de um grupo de regras por qualquer ação de regra válida. Quando você faz isso, as solicitações correspondentes são tratadas exatamente como se a ação da regra configurada fosse a configuração de substituição. 

**nota**  
As ações de regra podem ser de encerramento ou não. Uma ação de encerramento interrompe a avaliação do pacote de proteção (ACL da Web) da solicitação e permite que ela continue na aplicação protegida ou a bloqueia. 

Veja as opções da ação da regra: 
+ **Allow**— AWS WAF permite que a solicitação seja encaminhada ao AWS recurso protegido para processamento e resposta. Essa é uma ação de encerramento. Nas regras que define, você pode inserir cabeçalhos personalizados na solicitação antes de encaminhá-la para o recurso protegido.
+ **Block**— AWS WAF bloqueia a solicitação. Essa é uma ação de encerramento. Por padrão, seu AWS recurso protegido responde com um código de `403 (Forbidden)` status HTTP. Nas regras que você define, você pode personalizar a resposta. Quando AWS WAF bloqueia uma solicitação, as configurações da Block ação determinam a resposta que o recurso protegido envia de volta ao cliente. 
+ **Count**— AWS WAF conta a solicitação, mas não determina se ela deve ser permitida ou bloqueada. Essa não é uma ação de encerramento, o AWS WAF continua processando as regras restantes no pacote de proteção (ACL da Web). Nas regras que você define, você pode inserir cabeçalhos personalizados na solicitação e adicionar rótulos com os quais outras regras possam corresponder.
+ **CAPTCHAe Challenge** — AWS WAF usa quebra-cabeças de CAPTCHA e desafios silenciosos para verificar se a solicitação não vem de um bot e AWS WAF usa tokens para rastrear as respostas recentes bem-sucedidas dos clientes. 

  Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

  Essas ações de regra podem ser terminais ou não, dependendo do estado do token na solicitação: 
  + **Não encerramento para token válido e não expirado — Se o token** for válido e não expirado de acordo com o CAPTCHA configurado ou o tempo de imunidade de desafio, AWS WAF tratará a solicitação de forma semelhante à ação. Count AWS WAF continua inspecionando a solicitação da web com base nas regras restantes no pacote de proteção (Web ACL). Semelhante à configuração de Count, nas regras que define, você pode, opcionalmente, configurar essas ações com cabeçalhos personalizados para inserir na solicitação e adicionar rótulos aos quais outras regras possam corresponder. 
  + ** AWS WAF Encerramento com solicitação bloqueada de token inválido ou expirado** — Se o token for inválido ou a data e hora indicada expirar, encerra a inspeção da solicitação da web e bloqueia a solicitação, semelhante à ação. Block AWS WAF em seguida, responde ao cliente com um código de resposta personalizado. PoisCAPTCHA, se o conteúdo da solicitação indicar que o navegador do cliente pode lidar com isso, AWS WAF envia um quebra-cabeça CAPTCHA em um JavaScript intersticial, projetado para distinguir clientes humanos de bots. Para a Challenge ação, AWS WAF envia um JavaScript intersticial com um desafio silencioso projetado para distinguir navegadores normais de sessões que estão sendo executadas por bots. 

  Para obter informações adicionais, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

Para obter informações sobre como utilizar essa opção, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Substituição da ação da regra para Count
<a name="web-acl-rule-group-override-to-count"></a>

O caso de uso mais comum para substituições de ações de regras é substituir algumas ou todas as ações de regras para Count, para testar e monitorar o comportamento de um grupo de regras antes de colocá-lo em produção. 

Você também pode usar isso para solucionar problemas de um grupo de regras que está gerando falsos positivos. Falsos positivos ocorrem quando um grupo de regras bloqueia o tráfego que você não espera que ele bloqueie. Se você identificar uma regra em um grupo de regras que bloquearia as solicitações que você deseja permitir, você pode manter a substituição da ação de contagem nessa regra, para evitar que ela atue em suas solicitações.

Para saber mais sobre como usar a substituição de ação de regra em testes, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

### Lista JSON: `RuleActionOverrides` substitui `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Se você definiu as ações de regras do grupo de regras Count na configuração do pacote de proteção (Web ACL) antes de 27 de outubro de 2022, AWS WAF salvou suas substituições no JSON do pacote de proteção (Web ACL) como. `ExcludedRules` Agora, a configuração JSON para substituir uma regra para Count está nas configurações `RuleActionOverrides`. 

Recomendamos que você atualize todas as configurações `ExcludedRules` em suas listas de JSON para configurações `RuleActionOverrides` com a ação definida como Count. A API aceita qualquer uma das configurações, mas você obterá consistência em suas listas de JSON, entre o trabalho do console e o trabalho da API, se usar apenas a nova configuração `RuleActionOverrides`. 

**nota**  
No AWS WAF console, a guia **Solicitações de amostra** do pacote de proteção (Web ACL) não mostra exemplos de regras com a configuração antiga. Para obter mais informações, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

Quando você usa o AWS WAF console para editar as configurações existentes do grupo de regras, o console converte automaticamente qualquer `ExcludedRules` configuração no JSON em `RuleActionOverrides` configurações, com a ação de substituição definida como. Count 
+ Exemplo de configuração atual: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Exemplo de configuração antiga: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## A ação de retorno do grupo de regras é substituída por Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Você pode substituir a ação que o grupo de regras retorna, definindo-a como Count. 

**nota**  
Essa não é uma boa opção para testar as regras em um grupo de regras, pois não altera a forma como AWS WAF avalia o próprio grupo de regras. Ela afeta apenas a forma como AWS WAF manipula os resultados que são retornados ao pacote de proteção (Web ACL) a partir da avaliação do grupo de regras. Se você quiser testar as regras em um grupo de regras, use a opção descrita na seção anterior, [Substituições de ações de regras de grupos de regras](#web-acl-rule-group-override-options-rules).

Quando você substitui a ação do grupo de regras paraCount, AWS WAF processa a avaliação do grupo de regras normalmente. 

Se nenhuma regra no grupo de regras corresponder ou se todas as regras que corresponderem tiverem uma ação Count, essa substituição não terá efeito no processamento do grupo de regras ou do pacote de proteção (ACL da Web).

A primeira regra no grupo de regras que corresponde a uma solicitação da web e que tem uma ação de regra de encerramento faz AWS WAF com que pare de avaliar o grupo de regras e retorne o resultado da ação de encerramento ao nível de avaliação do pacote de proteção (Web ACL). Nesse ponto, na avaliação do pacote de proteção (Web ACL), essa substituição entra em vigor. AWS WAF substitui a ação de encerramento para que o resultado da avaliação do grupo de regras seja somente uma ação. Count AWS WAF em seguida, continua processando o restante das regras no pacote de proteção (Web ACL).

Para obter informações sobre como utilizar essa opção, consulte [Substituição do resultado da avaliação de um grupo de regras para Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).

# Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF
<a name="web-acl-default-action"></a>

Esta seção explica como as ações padrão do pacote de proteção (ACL da Web) funcionam.

Ao criar e configurar um pacote de proteção (ACL da Web), você deve definir a ação padrão do pacote de proteção (ACL da Web). O AWS WAF aplica essa ação a qualquer solicitação da Web que passe por todas as avaliações de regras do pacote de proteção (ACL da Web) sem ter uma ação de encerramento aplicada a ela. Uma ação de encerramento interrompe a avaliação do pacote de proteção (ACL da Web) da solicitação e permite que ela continue na aplicação protegida ou a bloqueia. Para informações sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

A ação padrão do pacote de proteção (ACL da Web) deve determinar a disposição final da solicitação da Web, portanto, é uma ação de encerramento: 
+ **Allow**: se você deseja permitir que a maioria dos usuários acesse seu website, mas deseja bloquear o acesso a invasores cujas solicitações se originam de endereços IP especificados ou que pareçam conter código SQL mal-intencionado ou valores especificados, escolha Allow como ação padrão. Então, ao adicionar regras ao pacote de proteção (ACL da Web), adicione regras que identifiquem e bloqueiem as solicitações específicas que você deseja bloquear. Com essa ação, você pode inserir cabeçalhos personalizados na solicitação antes de encaminhá-la para o recurso protegido.
+ **Block**: se você deseja impedir que a maioria dos aspirantes a usuários acesse seu website, mas quer permitir acesso aos usuários cujas solicitações se originem de endereços IP especificados ou cujas solicitações contenham valores especificados, escolha Block como ação padrão. Então, ao adicionar regras ao pacote de proteção (ACL da Web), adicione regras que identifiquem e permitam as solicitações específicas cuja entrada você deseja permitir. Por padrão, para a Block ação, o AWS recurso responde com um código de `403 (Forbidden)` status HTTP, mas você pode personalizar a resposta. 

Para obter informações sobre como personalizar solicitações e respostas, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

Sua configuração de suas próprias regras e grupos de regras depende, em parte, se você deseja permitir ou bloquear a maioria das solicitações da web. Por exemplo, se desejar *permitir* a maioria das solicitações, defina a ação padrão do pacote de proteção (ACL da Web) como Allow, e adicione regras que identifiquem solicitações da Web que você deseja *bloquear*, como as seguintes:
+ Solicitações originadas de endereços IP que estão fazendo um número sem cabimento de solicitações
+ Solicitações originadas de países nos quais você não faz negócios ou que sejam as origens de ataques frequentes
+ Solicitações que incluem valores falsos no cabeçalho do `User-agent`
+ Solicitações que aparentem incluir código SQL mal-intencionado

As regras do grupo de regras gerenciadas geralmente usam a ação Block, mas nem todas usam. Por exemplo, algumas regras usadas para o Controle de Bots usam as configurações de ação CAPTCHA e Challenge. Para saber mais sobre grupos de regras gerenciadas, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md).

# Considerações para gerenciar a inspeção corporal em AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

O limite de tamanho da inspeção do corpo é o tamanho máximo do corpo da solicitação que AWS WAF pode ser inspecionado. Quando o corpo de uma solicitação da web é maior que o limite, o serviço de hospedagem subjacente encaminha apenas o conteúdo que está dentro do limite AWS WAF para inspeção. 
+ Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB (8.192 bytes).
+ Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB (16.384 bytes), e você pode aumentar o limite para qualquer tipo de recurso em incrementos de 16 KB, até 64 KB. As opções de configuração são 16 KB, 32 KB, 48 KB e 64 KB. 

**Importante**  
AWS WAF não oferece suporte às regras de inspeção do corpo da solicitação para tráfego gRPC. Se você habilitou essas regras no pacote de proteção (web ACL) para uma CloudFront distribuição ou Application Load Balancer, qualquer solicitação que use gRPC ignorará as regras de inspeção do corpo da solicitação. Todas as outras AWS WAF regras ainda serão aplicadas. Para obter mais informações, consulte [Habilitar AWS WAF para distribuições](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) no *Amazon CloudFront Developer Guide*. 

**Tratamento de corpo de tamanho grande**  
Se o tráfego da Web incluir corpos maiores que o limite, seu tratamento configurado de tamanho grande será aplicado. Para obter informações sobre as opções para tratamento de tamanhos grandes, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md). 

**Considerações sobre preços para aumentar a definição do limite**  
AWS WAF cobra uma taxa básica para inspecionar o tráfego que está dentro do limite padrão para o tipo de recurso. 

Para CloudFront recursos do API Gateway, Amazon Cognito, App Runner e Verified Access, se você aumentar a configuração do limite, o tráfego que AWS WAF pode ser inspecionado incluirá tamanhos corporais até seu novo limite. Você paga uma taxa extra apenas pela inspeção de solicitações com tamanhos de corpo maiores do que os 16 KB padrão. Para saber mais sobre precificação, consulte [Precificação do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Opções para modificar o limite de tamanho da inspeção de corpo**  
Você pode configurar o limite de tamanho da inspeção corporal para CloudFront recursos do API Gateway, Amazon Cognito, App Runner ou Verified Access. 

Ao criar ou editar um pacote de proteção (ACL da Web), você pode modificar os limites de tamanho da inspeção de corpo na configuração de associação de recurso. Para a API, consulte a configuração de associação do pacote de proteção (web ACL) em [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). No console, veja a configuração na página na qual você especifica os recursos associados ao pacote de proteção (ACL da Web). Para obter orientação sobre a configuração do console, consulte [Visualizando métricas de tráfego da web em AWS WAF](web-acl-working-with.md). 

# Configurando CAPTCHA, desafio e tokens em AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

Você pode configurar opções em seu pacote de proteção (web ACL) para as regras que usam as ações de Challenge regra CAPTCHA ou e para a integração de aplicativos SDKs que gerencia os desafios silenciosos do cliente para proteções AWS WAF gerenciadas. 

Esses recursos atenuam a atividade dos bots desafiando os usuários finais com quebra-cabeças CAPTCHA e apresentando desafios silenciosos às sessões dos clientes. Quando o cliente responde com sucesso, o AWS WAF fornece um token para ele usar em sua solicitação na web, com timestamp do último quebra-cabeça bem-sucedido e das respostas ao desafio. Para obter mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

Na configuração do pacote de proteção (web ACL), você pode configurar como AWS WAF gerencia esses tokens: 
+ **Tempos de imunidade de CAPTCHA e desafio**: especificam por quanto tempo um CAPTCHA ou timestamp de desafio permanece válido. As configurações do pacote de proteção (Web ACL) são herdadas por todas as regras que não têm suas próprias configurações de tempo de imunidade definidas e também pela integração do aplicativo. SDKs Para obter mais informações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
+ **Domínios de token** — Por padrão, AWS WAF aceita tokens somente para o domínio do recurso ao qual o pacote de proteção (Web ACL) está associado. Se você configurar uma lista de domínios de tokens, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

# Visualizando métricas de tráfego da web em AWS WAF
<a name="web-acl-working-with"></a>

Esta seção explica como acessar resumos de métricas de tráfego da Web.

Para qualquer pacote de proteção (web ACL) que você estiver usando, você pode acessar resumos das métricas de tráfego da web na página do pacote de proteção (web ACL) no AWS WAF console, na guia Visão geral do **tráfego**. Os painéis do console fornecem resumos quase em tempo real das CloudWatch métricas da Amazon que são AWS WAF coletadas quando avalia o tráfego web do seu aplicativo. Para saber mais sobre o painel, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md). Para obter informações adicionais sobre como monitorar o tráfego do pacote de proteção (ACL da Web), consulte [Monitorando e ajustando suas AWS WAF proteções](web-acl-testing-activities.md).

# Excluir um pacote de proteção (ACL da Web)
<a name="web-acl-deleting"></a>

Esta seção fornece procedimentos para excluir pacotes de proteção (web ACLs) por meio do AWS console. 

**Importante**  
A exclusão de um pacote de proteção (Web ACL) é permanente e não pode ser desfeita.

Para excluir um pacote de proteção (Web ACL), primeiro você desassocia todos os AWS recursos do pacote de proteção (Web ACL). Execute o procedimento a seguir.

------
#### [ Using the new console ]

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Recursos** para abrir o painel **Gerenciar recursos**.

1. Na seção **Gerenciar recursos** do grupo de regras, escolha o recurso que você deseja desassociar e, em seguida, escolha **Desassociar**.
**nota**  
Você deve desassociar um recurso por vez. Não escolha vários recursos. 

1. Na página de confirmação, digite “desassociar” e escolha **Desassociar**. Repita o procedimento para desassociar cada recurso no pacote de proteção (ACL da Web).

1. Escolha o pacote de proteção (ACL da Web) que você deseja excluir. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No painel de detalhes, selecione o ícone de lixeira.

1. Na página de confirmação, digite “excluir” e, em seguida, escolha **Excluir**.

------
#### [ Using the standard console ]

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Selecione o nome da web ACL a ser excluída. O console leva você para a descrição da web ACL, onde é possível editá-la.
**nota**  
Se você não vê a ACL da web que deseja excluir, verifique se a seleção de região dentro da ACLs seção da web está correta. Qualquer site ACLs que proteja CloudFront as distribuições da Amazon está em **Global (CloudFront)**.

1. Na guia ** AWS Recursos associados**, para cada recurso associado, selecione o botão de rádio ao lado do nome do recurso e escolha **Desassociar**. Isso desassocia o pacote de proteção (Web ACL) dos seus recursos. AWS 

1. No painel de navegação, escolha **web ACLs**.

1. Selecione o botão de opção ao lado da web ACL que você está excluindo e selecione **Delete (Excluir)**.

------

# AWS WAF regras
<a name="waf-rules"></a>

Esta seção explica o que é uma AWS WAF regra e como ela funciona.

Uma AWS WAF regra define como inspecionar solicitações web HTTP (S) e a ação a ser tomada em uma solicitação quando ela corresponde aos critérios de inspeção. Você define regras somente no contexto de um grupo de regras ou pacote de proteção (ACL da Web). 

As regras não existem AWS WAF sozinhas. Eles não são AWS recursos e não têm nomes de recursos da Amazon (ARNs). Você pode acessar uma regra pelo nome em um grupo de regras ou no pacote de proteção (ACL da Web) no qual ela está definida. Você pode gerenciar regras e copiá-las para outros pacotes de proteção (web ACLs) usando a visualização JSON do grupo de regras ou pacote de proteção (web ACL) que contém a regra. Você também pode gerenciá-los por meio do criador de regras do AWS WAF console, que está disponível para pacotes de proteção (web ACLs) e grupos de regras.

**Nome da regra**  
Cada regra exige um nome. Evite nomes que comecem com `AWS` e nomes usados para grupos de regras ou regras gerenciadas para você por outros serviços. Consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md). 

**nota**  
Se você alterar o nome de uma regra e quiser que o nome da métrica da regra reflita a alteração, você também deverá atualizar o nome da métrica. AWS WAF não atualiza automaticamente o nome da métrica de uma regra quando você altera o nome da regra. Você pode alterar o nome da métrica ao editar a regra no console, usando o editor JSON de regras. Você também pode alterar os dois nomes por meio de APIs e em qualquer listagem JSON usada para definir seu pacote de proteção (Web ACL) ou grupo de regras.

**Instrução de regra**  
Cada regra também exige uma instrução de regra que defina como a regra inspeciona as solicitações da web. A instrução de regra pode conter outras instruções aninhadas em qualquer profundidade, dependendo da regra e do tipo de instrução. Algumas instruções de regras exigem conjuntos de critérios. Por exemplo, você pode especificar até 10.000 endereços IP ou intervalos de endereços IP em uma regra de endereços IP.

Você pode definir regras que inspecionam critérios como os seguintes: 
+ Scripts que provavelmente são mal-intencionados. Os invasores incorporam scripts que podem explorar vulnerabilidades nas aplicações web. Isso é conhecido como cross-site scripting (XSS).
+ Endereços IP ou intervalos de endereços IP dos quais as solicitações se originam.
+ País ou localização geográfica de origem das solicitações.
+ Comprimento da parte específica da solicitação, como a string de consulta.
+ Código SQL que provavelmente é mal-intencionado. Os invasores tentam extrair dados do seu banco de dados ao incorporarem código SQL mal-intencionado a uma solicitação da web. Isso é conhecido como injeção de SQL.
+ Strings que aparecem na solicitação, por exemplo, valores que aparecem no cabeçalho `User-Agent` ou strings de texto que aparecem na string de consulta. Você também pode usar expressões regulares (regex) para especificar essas strings.
+ Rótulos que priorizam regras no pacote de proteção (ACL da Web) foram adicionados à solicitação.

Além de instruções com critérios de inspeção de solicitações da web, como as da lista anterior, AWS WAF oferece suporte a instruções lógicas para `AND``OR`, e `NOT` que você usa para combinar instruções em uma regra. 

Por exemplo, com base em solicitações recentes que você viu de um invasor, você pode criar uma regra com uma instrução `AND` lógica que combina as seguintes instruções aninhadas: 
+ As solicitações vêm de 192.0.2.44.
+ Elas contém o valor `BadBot` no cabeçalho do `User-Agent`.
+ Elas parecem incluir código do tipo SQL na query string.

Nesse caso, a solicitação da web precisa corresponder a todas as instruções para resultar em uma correspondência para o `AND` de nível superior. 

**Topics**
+ [

# Usando ações de regras em AWS WAF
](waf-rule-action.md)
+ [

# Usando declarações de regras em AWS WAF
](waf-rule-statements.md)
+ [

# Usando declarações de regras de correspondência em AWS WAF
](waf-rule-statements-match.md)
+ [

# Usando declarações de regras lógicas em AWS WAF
](waf-rule-statements-logical.md)
+ [

# Usando declarações de regras baseadas em taxas em AWS WAF
](waf-rule-statement-type-rate-based.md)
+ [

# Usando declarações de regras de grupos de regras em AWS WAF
](waf-rule-statements-rule-group.md)

# Usando ações de regras em AWS WAF
<a name="waf-rule-action"></a>

Esta seção explica como as ações de regra funcionam.

A ação da regra diz AWS WAF o que fazer com uma solicitação da web quando ela corresponde aos critérios definidos na regra. Opcionalmente, você pode adicionar um comportamento personalizado a cada ação da regra. 

**nota**  
As ações de regra podem ser de encerramento ou não. Uma ação de encerramento interrompe a avaliação do pacote de proteção (ACL da Web) da solicitação e permite que ela continue na aplicação protegida ou a bloqueia. 

Veja as opções da ação da regra: 
+ **Allow**— AWS WAF permite que a solicitação seja encaminhada ao AWS recurso protegido para processamento e resposta. Essa é uma ação de encerramento. Nas regras que define, você pode inserir cabeçalhos personalizados na solicitação antes de encaminhá-la para o recurso protegido.
+ **Block**— AWS WAF bloqueia a solicitação. Essa é uma ação de encerramento. Por padrão, seu AWS recurso protegido responde com um código de `403 (Forbidden)` status HTTP. Nas regras que você define, você pode personalizar a resposta. Quando AWS WAF bloqueia uma solicitação, as configurações da Block ação determinam a resposta que o recurso protegido envia de volta ao cliente. 
+ **Count**— AWS WAF conta a solicitação, mas não determina se ela deve ser permitida ou bloqueada. Essa não é uma ação de encerramento, o AWS WAF continua processando as regras restantes no pacote de proteção (ACL da Web). Nas regras que você define, você pode inserir cabeçalhos personalizados na solicitação e adicionar rótulos com os quais outras regras possam corresponder.
+ **CAPTCHAe Challenge** — AWS WAF usa quebra-cabeças de CAPTCHA e desafios silenciosos para verificar se a solicitação não vem de um bot e AWS WAF usa tokens para rastrear as respostas recentes bem-sucedidas dos clientes. 

  Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

  Essas ações de regra podem ser terminais ou não, dependendo do estado do token na solicitação: 
  + **Não encerramento para token válido e não expirado — Se o token** for válido e não expirado de acordo com o CAPTCHA configurado ou o tempo de imunidade de desafio, AWS WAF tratará a solicitação de forma semelhante à ação. Count AWS WAF continua inspecionando a solicitação da web com base nas regras restantes no pacote de proteção (Web ACL). Semelhante à configuração de Count, nas regras que define, você pode, opcionalmente, configurar essas ações com cabeçalhos personalizados para inserir na solicitação e adicionar rótulos aos quais outras regras possam corresponder. 
  + ** AWS WAF Encerramento com solicitação bloqueada de token inválido ou expirado** — Se o token for inválido ou a data e hora indicada expirar, encerra a inspeção da solicitação da web e bloqueia a solicitação, semelhante à ação. Block AWS WAF em seguida, responde ao cliente com um código de resposta personalizado. PoisCAPTCHA, se o conteúdo da solicitação indicar que o navegador do cliente pode lidar com isso, AWS WAF envia um quebra-cabeça CAPTCHA em um JavaScript intersticial, projetado para distinguir clientes humanos de bots. Para a Challenge ação, AWS WAF envia um JavaScript intersticial com um desafio silencioso projetado para distinguir navegadores normais de sessões que estão sendo executadas por bots. 

  Para obter informações adicionais, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

Para obter informações sobre como personalizar solicitações e respostas, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

Para obter informações sobre como adicionar rótulos às solicitações correspondentes, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

Para obter mais informações sobre como o pacote de proteção (ACL da Web) e as configurações de regra interagem, consulte [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md). 

# Usando declarações de regras em AWS WAF
<a name="waf-rule-statements"></a>

Esta seção explica como as instruções de regras funcionam.

As declarações de regras são parte de uma regra que informa AWS WAF como inspecionar uma solicitação da web. Quando AWS WAF encontramos os critérios de inspeção em uma solicitação da web, dizemos que a solicitação da web corresponde à declaração. Cada instrução de regra especifica o que procurar e como, de acordo com o tipo de instrução. 

Cada regra em AWS WAF tem uma única declaração de regra de nível superior, que pode conter outras declarações. As instruções de regras podem ser muito simples. Por exemplo, você pode ter uma instrução que forneça um conjunto de países de origem para inspecionar suas solicitações da Web ou você pode ter uma instrução de regra em um pacote de proteção (ACL da Web) que apenas referencie um grupo de regras. As instruções de regras também podem ser muito complexas. Por exemplo, você pode ter uma instrução que combina muitas outras instruções com instruções lógicas AND, OR, and NOT. 

Para a maioria das regras, você pode adicionar AWS WAF rótulos personalizados às solicitações correspondentes. As regras nos grupos de regras de regras AWS gerenciadas adicionam rótulos às solicitações correspondentes. Os rótulos que uma regra adiciona fornecem informações sobre a solicitação às regras que são avaliadas posteriormente no pacote de proteção (Web ACL) e também em AWS WAF registros e métricas. Para obter informações sobre rotulagem, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md) e [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md).

**Como aninhar instruções de regra**  
AWS WAF suporta aninhamento para muitas declarações de regras, mas não para todas. Por exemplo, você não pode aninhar uma instrução de grupo de regras dentro de outra instrução. Você precisa usar o aninhamento em alguns cenários, como instruções de redução de escopo e instruções lógicas. As listas de instruções de regras e os detalhes das regras a seguir descrevem os recursos e requisitos de aninhamento de cada categoria e regra.

O editor visual de regras no console oferece suporte a apenas um nível de aninhamento para instruções de regras. Por exemplo, você pode aninhar muitos tipos de instruções dentro de uma regra lógica AND ou OR, mas não pode aninhar outra regra AND ou OR, porque isso requer um segundo nível de aninhamento. Para implementar vários níveis de aninhamento, forneça a definição da regra em JSON, seja por meio do editor de regras JSON no console ou por meio do. APIs 

**Topics**
+ [

# Ajustando as configurações da declaração de regra em AWS WAF
](waf-rule-statement-fields.md)
+ [

# Usando declarações de escopo reduzido em AWS WAF
](waf-rule-scope-down-statements.md)
+ [

# Referenciando entidades reutilizáveis em AWS WAF
](waf-rule-statement-reusable-entities.md)

# Ajustando as configurações da declaração de regra em AWS WAF
<a name="waf-rule-statement-fields"></a>

Esta seção descreve as configurações que você pode especificar para instruções de regra que inspeciona um componente da solicitação da Web. Para obter informações sobre o uso, consulte as instruções de regras individuais em [Usando declarações de regras de correspondência em AWS WAF](waf-rule-statements-match.md). 

Um subconjunto desses componentes de solicitação da Web também pode ser usado em regras baseadas em intervalos, como chaves personalizadas de agregação de solicitações. Para mais informações, consulte [Agregando regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based-aggregation-options.md).

Para as configurações do componente de solicitação, você especifica o próprio tipo de componente e quaisquer opções adicionais, dependendo do tipo de componente. Por exemplo, ao inspecionar um tipo de componente que contém texto, você pode aplicar transformações de texto nele antes de inspecioná-lo. 

**nota**  
Salvo indicação em contrário, se uma solicitação da Web não tiver o componente de solicitação especificado na declaração da regra, a solicitação será AWS WAF avaliada como não correspondendo aos critérios da regra.

**Contents**
+ [

# Solicitar componentes em AWS WAF
](waf-rule-statement-fields-list.md)
  + [

## Método HTTP
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)
  + [

## Cabeçalho único
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)
  + [

## Todos os cabeçalhos
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)
  + [

## Ordem de cabeçalho
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-header-order)
  + [

## Cookies
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-cookies)
  + [

## Fragmento de URI
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-fragment)
  + [

## Caminho do URI
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path)
  + [

## JA3 impressão digital
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint)
  + [

## JA4 impressão digital
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint)
  + [

## String de consulta
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string)
  + [

## Parâmetro de consulta única
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param)
  + [

## Todos os parâmetros da consulta
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)
  + [

## Corpo
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-body)
  + [

## Corpo JSON
](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body)
+ [

# Usando endereços IP encaminhados em AWS WAF
](waf-rule-statement-forwarded-ip-address.md)
+ [

# Inspecionando pseudo-cabeçalhos HTTP/2 em AWS WAF
](waf-rule-statement-request-components-for-http2-pseudo-headers.md)
+ [

# Usando transformações de texto em AWS WAF
](waf-rule-statement-transformation.md)

# Solicitar componentes em AWS WAF
<a name="waf-rule-statement-fields-list"></a>

Esta seção descreve os componentes da solicitação da web que você pode especificar para inspeção. Você especifica o componente de solicitação para instruções de regra de correspondência que procuram padrões dentro da solicitação da web. Esses tipos de instruções incluem correspondência de string, padrão regex, ataque de injeção de SQL e instruções de restrição de tamanho. Para obter informações sobre como usar essas configurações de componentes de solicitação, consulte as instruções de regras individuais em [Usando declarações de regras de correspondência em AWS WAF](waf-rule-statements-match.md)

Salvo indicação em contrário, se uma solicitação da Web não tiver o componente de solicitação especificado na declaração da regra, a solicitação será AWS WAF avaliada como não correspondendo aos critérios da regra.

**nota**  
Especifique um único componente de solicitação para cada instrução de regra que o exija. Para inspecionar mais de um componente de uma solicitação, crie uma instrução de regra para cada componente. 

A documentação do AWS WAF console e da API fornece orientação para as configurações do componente de solicitação nos seguintes locais: 
+ **Construtor de regras** no console: nas configurações de **Instrução** de um tipo de regra comum, escolha o componente que você deseja inspecionar na caixa de diálogo **Inspecionar** em **Solicitar componentes**.
+ **Conteúdo da instrução da API**: `FieldToMatch`

O restante desta seção descreve as opções da parte da solicitação da web a inspecionar. 

**Topics**
+ [

## Método HTTP
](#waf-rule-statement-request-component-http-method)
+ [

## Cabeçalho único
](#waf-rule-statement-request-component-single-header)
+ [

## Todos os cabeçalhos
](#waf-rule-statement-request-component-headers)
+ [

## Ordem de cabeçalho
](#waf-rule-statement-request-component-header-order)
+ [

## Cookies
](#waf-rule-statement-request-component-cookies)
+ [

## Fragmento de URI
](#waf-rule-statement-request-component-uri-fragment)
+ [

## Caminho do URI
](#waf-rule-statement-request-component-uri-path)
+ [

## JA3 impressão digital
](#waf-rule-statement-request-component-ja3-fingerprint)
+ [

## JA4 impressão digital
](#waf-rule-statement-request-component-ja4-fingerprint)
+ [

## String de consulta
](#waf-rule-statement-request-component-query-string)
+ [

## Parâmetro de consulta única
](#waf-rule-statement-request-component-single-query-param)
+ [

## Todos os parâmetros da consulta
](#waf-rule-statement-request-component-all-query-params)
+ [

## Corpo
](#waf-rule-statement-request-component-body)
+ [

## Corpo JSON
](#waf-rule-statement-request-component-json-body)

## Método HTTP
<a name="waf-rule-statement-request-component-http-method"></a>

Inspectiona o método HTTP para a solicitação. O método HTTP indica o tipo de operação que a solicitação da Web está solicitando que seu recurso protegido realize, como `POST` ou `GET`. 

## Cabeçalho único
<a name="waf-rule-statement-request-component-single-header"></a>

Inspeciona um único cabeçalho nomeado na solicitação. 

Para essa opção, você especifica o nome do cabeçalho, por exemplo, `User-Agent` ou `Referer`. A correspondência de string para o nome não diferencia maiúsculas de minúsculas e é executada após cortar os espaços à esquerda e à direita do cabeçalho da solicitação e da regra.

## Todos os cabeçalhos
<a name="waf-rule-statement-request-component-headers"></a>

Inspeciona todos os cabeçalhos da solicitação, incluindo cookies. É possível aplicar um filtro para inspecionar um subconjunto de todos os cabeçalhos. 

Para essa opção, você fornece as seguintes especificações: 
+ **Padrões de correspondência** — O filtro a ser usado para obter um subconjunto de cabeçalhos para inspeção. AWS WAF procura esses padrões nas teclas dos cabeçalhos. 

  A configuração de padrões de correspondência pode ser uma das seguintes: 
  + **Tudo**: corresponder todas as teclas. Avalie os critérios de inspeção de regras para todos os cabeçalhos. 
  + **Cabeçalhos excluídos**: inspeciona apenas os cabeçalhos cujas chaves não correspondem a nenhuma das strings especificadas aqui. A correspondência de string para uma chave não diferencia maiúsculas de minúsculas. A correspondência é realizada após cortar os espaços à esquerda e à direita do cabeçalho da solicitação e da regra de correspondência.
  + **Cabeçalhos incluídos**: inspeciona apenas os cabeçalhos que têm uma chave que corresponda a uma das strings especificadas aqui. A correspondência de string para uma chave não diferencia maiúsculas de minúsculas. A correspondência é realizada após cortar os espaços à esquerda e à direita do cabeçalho da solicitação e da regra de correspondência.
+ **Escopo correspondente** — As partes dos cabeçalhos que AWS WAF devem ser inspecionadas de acordo com os critérios de inspeção da regra. Você pode especificar **chaves**, **valores** ou **tudo** para inspecionar as chaves e os valores em busca de uma correspondência. 

  **Tudo** não exige que uma correspondência seja encontrada nas chaves e que uma correspondência seja encontrada nos valores. Isso requer que uma correspondência seja encontrada nas chaves, nos valores ou nos dois. Para exigir uma correspondência nas chaves e nos valores, use uma instrução lógica `AND` para combinar duas regras de correspondência, uma que inspeciona as chaves e outra que inspeciona os valores. 
+ **Manipulação de tamanho grande** — Como AWS WAF lidar com solicitações que têm dados de cabeçalho maiores do que os que AWS WAF podem ser inspecionados. AWS WAF pode inspecionar no máximo os primeiros 8 KB (8.192 bytes) dos cabeçalhos da solicitação e, no máximo, os primeiros 200 cabeçalhos. O conteúdo está disponível para inspeção AWS WAF até o primeiro limite atingido. Você pode optar por continuar a inspeção ou pular a inspeção e marcar a solicitação como compatível ou não com a regra. Para saber mais sobre como processar conteúdo de tamanho acima do limite, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).

## Ordem de cabeçalho
<a name="waf-rule-statement-request-component-header-order"></a>

Inspecione uma string contendo a lista dos nomes dos cabeçalhos da solicitação, ordenados conforme aparecem na solicitação da web que AWS WAF recebe para inspeção. AWS WAF gera a string e, em seguida, a usa como campo para combinar o componente em sua inspeção. AWS WAF separa os nomes dos cabeçalhos na string com dois pontos e sem espaços adicionados, por exemplo. `host:user-agent:accept:authorization:referer`

Para essa opção, você fornece as seguintes especificações: 
+ **Manipulação de tamanho grande** — Como AWS WAF lidar com solicitações que têm dados de cabeçalho mais numerosos ou maiores do que os que AWS WAF podem ser inspecionados. AWS WAF pode inspecionar no máximo os primeiros 8 KB (8.192 bytes) dos cabeçalhos da solicitação e, no máximo, os primeiros 200 cabeçalhos. O conteúdo está disponível para inspeção AWS WAF até o primeiro limite atingido. Você pode optar por continuar a inspeção dos cabeçalhos que estão disponíveis ou pular a inspeção e marcar a solicitação como compatível ou não com a regra. Para saber mais sobre como processar conteúdo de tamanho acima do limite, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).

## Cookies
<a name="waf-rule-statement-request-component-cookies"></a>

Inspeciona todos os cookies de solicitação. É possível aplicar um filtro para inspecionar um subconjunto de todos os cookies. 

Para essa opção, você fornece as seguintes especificações: 
+ **Padrões de correspondência**: o filtro a ser usado para obter um subconjunto de cookies para inspeção. O AWS WAF procura esses padrões nas chaves dos cookies. 

  A configuração de padrões de correspondência pode ser uma das seguintes: 
  + **Tudo**: corresponder todas as teclas. Avalie os critérios de inspeção de regras para todos os cookies. 
  + **Cookies excluídos**: inspeciona apenas os cookies cujas chaves não correspondem a nenhuma das strings especificadas aqui. A correspondência de string para uma chave diferencia maiúsculas de minúsculas e deve ser exata. 
  + **Cookies incluídos**: inspeciona apenas os cookies que têm uma chave que corresponda a uma das strings especificadas aqui. A correspondência de string para uma chave diferencia maiúsculas de minúsculas e deve ser exata. 
+ **Escopo da correspondência** — As partes dos cookies que AWS WAF devem ser inspecionadas de acordo com os critérios de inspeção da regra. Você pode especificar **chaves**, **valores** ou **tudo** para chaves e valores. 

  **Tudo** não exige que uma correspondência seja encontrada nas chaves e que uma correspondência seja encontrada nos valores. Isso requer que uma correspondência seja encontrada nas chaves, nos valores ou nos dois. Para exigir uma correspondência nas chaves e nos valores, use uma instrução lógica `AND` para combinar duas regras de correspondência, uma que inspeciona as chaves e outra que inspeciona os valores. 
+ **Manipulação de tamanho grande** — Como AWS WAF lidar com solicitações que têm dados de cookies maiores do que os que AWS WAF podem ser inspecionados. AWS WAF pode inspecionar no máximo os primeiros 8 KB (8.192 bytes) dos cookies de solicitação e no máximo os primeiros 200 cookies. O conteúdo está disponível para inspeção AWS WAF até o primeiro limite atingido. Você pode optar por continuar a inspeção ou pular a inspeção e marcar a solicitação como compatível ou não com a regra. Para saber mais sobre como processar conteúdo de tamanho acima do limite, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).

## Fragmento de URI
<a name="waf-rule-statement-request-component-uri-fragment"></a>

**nota**  
A inspeção de fragmentos de Uri está disponível somente para CloudFront distribuições e balanceadores de carga de aplicativos.

Ela inspeciona parte de uma URL que vem depois do símbolo “\$1”, fornecendo informações adicionais sobre o recurso, por exemplo, \$1section2. Para saber mais, consulte [Identificador de recurso uniforme (URI): sintaxe genérica](https://tools.ietf.org/html/rfc3986#section-3). 

Se você não usar uma transformação de texto com essa opção, AWS WAF não normaliza o fragmento do URI e o inspeciona exatamente como o recebe do cliente na solicitação. Para obter mais informações sobre transformações de texto, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

**Requisitos de instrução de regras**  
Você deve fornecer um comportamento de fallback para essa instrução de regra. O comportamento de fallback é o status de correspondência que você deseja atribuir AWS WAF à solicitação da web se o URI estiver ausente, o fragmento ou o serviço associado não for Application Load Balancer ou. CloudFront Se você optar por corresponder, AWS WAF tratará a solicitação como correspondente à declaração da regra e aplicará a ação da regra à solicitação. Se você optar por não corresponder, AWS WAF tratará a solicitação como não correspondente à declaração da regra.

## Caminho do URI
<a name="waf-rule-statement-request-component-uri-path"></a>

Inspeciona a parte de um URL que identifica um recurso, como `/images/daily-ad.jpg`. Para obter mais informações, consulte [Identificador de recurso uniforme (URI): sintaxe genérica](https://tools.ietf.org/html/rfc3986#section-3). 

Se você não usa uma transformação de texto com essa opção, AWS WAF não normaliza o URI e o inspeciona exatamente como o recebe do cliente na solicitação. Para obter mais informações sobre transformações de texto, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

## JA3 impressão digital
<a name="waf-rule-statement-request-component-ja3-fingerprint"></a>

Inspeciona a JA3 impressão digital da solicitação. 

**nota**  
JA3 a inspeção de impressão digital está disponível somente para CloudFront distribuições da Amazon e Application Load Balancers.

A JA3 impressão digital é um hash de 32 caracteres derivado do TLS Client Hello de uma solicitação recebida. Essa impressão digital serve como um identificador exclusivo para a configuração TLS do cliente. AWS WAF calcula e registra essa impressão digital para cada solicitação que tenha informações suficientes do TLS Client Hello para o cálculo. Quase todas as solicitações da web incluem essas informações.

**Como obter a JA3 impressão digital de um cliente**  
Você pode obter a JA3 impressão digital das solicitações de um cliente nos registros do pacote de proteção (Web ACL). Se AWS WAF for capaz de calcular a impressão digital, ela a inclui nos registros. Para obter informações sobre os campos de log, consulte [Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).

**Requisitos de instrução de regras**  
Você pode inspecionar a JA3 impressão digital somente dentro de uma instrução de correspondência de sequência de caracteres definida para corresponder exatamente à sequência de caracteres fornecida. Forneça a string de JA3 impressão digital dos registros em sua especificação de instrução string match para corresponder a quaisquer solicitações futuras que tenham a mesma configuração de TLS. Para obter mais informações sobre instruções de regra de correspondência de string, consulte [Instrução de regra de correspondência de string](waf-rule-statement-type-string-match.md).

Você deve fornecer um comportamento de fallback para essa instrução de regra. O comportamento de fallback é o status de correspondência que você deseja atribuir AWS WAF à solicitação da web AWS WAF se não conseguir calcular a JA3 impressão digital. Se você optar pela correspondência, AWS WAF trata a solicitação como correspondente à instrução da regra e aplica a ação da regra à solicitação. Se você optar por não corresponder, AWS WAF tratará a solicitação como não correspondente à declaração da regra.

Para usar essa opção de correspondência, você deve registrar em log o tráfego do pacote de proteção (ACL da Web). Para mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

## JA4 impressão digital
<a name="waf-rule-statement-request-component-ja4-fingerprint"></a>

Inspeciona a JA4 impressão digital da solicitação. 

**nota**  
JA4 a inspeção de impressão digital está disponível somente para CloudFront distribuições da Amazon e Application Load Balancers.

A JA4 impressão digital é um hash de 36 caracteres derivado do TLS Client Hello de uma solicitação recebida. Essa impressão digital serve como um identificador exclusivo para a configuração TLS do cliente. JA4 a impressão digital é uma extensão da JA3 impressão digital que pode resultar em menos impressões digitais exclusivas para alguns navegadores. AWS WAF calcula e registra essa impressão digital para cada solicitação que tenha informações suficientes do TLS Client Hello para o cálculo. Quase todas as solicitações da web incluem essas informações.

**Como obter a JA4 impressão digital de um cliente**  
Você pode obter a JA4 impressão digital das solicitações de um cliente nos registros do pacote de proteção (Web ACL). Se AWS WAF for capaz de calcular a impressão digital, ela a inclui nos registros. Para obter informações sobre os campos de log, consulte [Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).

**Requisitos de instrução de regras**  
Você pode inspecionar a JA4 impressão digital somente dentro de uma instrução de correspondência de sequência de caracteres definida para corresponder exatamente à sequência de caracteres fornecida. Forneça a string de JA4 impressão digital dos registros em sua especificação de instrução string match para corresponder a quaisquer solicitações futuras que tenham a mesma configuração de TLS. Para obter mais informações sobre instruções de regra de correspondência de string, consulte [Instrução de regra de correspondência de string](waf-rule-statement-type-string-match.md).

Você deve fornecer um comportamento de fallback para essa instrução de regra. O comportamento de fallback é o status de correspondência que você deseja atribuir AWS WAF à solicitação da web AWS WAF se não conseguir calcular a JA4 impressão digital. Se você optar pela correspondência, AWS WAF trata a solicitação como correspondente à instrução da regra e aplica a ação da regra à solicitação. Se você optar por não corresponder, AWS WAF tratará a solicitação como não correspondente à declaração da regra.

Para usar essa opção de correspondência, você deve registrar em log o tráfego do pacote de proteção (ACL da Web). Para mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

## String de consulta
<a name="waf-rule-statement-request-component-query-string"></a>

Inspeciona parte de um URL exibida após um caractere `?`, se houver.

**nota**  
Para condições de correspondência de cross-site scripting, recomendamos que você escolha **Todos os parâmetros de consulta** em vez de **String de consulta**. A escolha de **Todos os parâmetros de consulta** adiciona 10% WCUs ao custo base.

## Parâmetro de consulta única
<a name="waf-rule-statement-request-component-single-query-param"></a>

Inspeciona um único parâmetro de consulta que você definiu como parte da cadeia de caracteres de consulta. AWS WAF inspeciona o valor do parâmetro que você especifica. 

Para essa opção, você também especifica um **Argumento de consulta**. Por exemplo, se o URL for `www.xyz.com?UserName=abc&SalesRegion=seattle`, você pode especificar `UserName` ou `SalesRegion` para o argumento da consulta. O tamanho máximo para o nome do argumento é de 30 caracteres. O nome não diferencia maiúsculas e minúsculas, portanto, se você especificar `UserName`, o AWS WAF combina a todas as variações de `UserName`, incluindo `username` e `UsERName`.

Se a string de consulta contiver mais de uma instância do argumento de consulta que você especificou, AWS WAF inspeciona todos os valores em busca de uma correspondência usando a OR lógica. Por exemplo, no URL `www.xyz.com?SalesRegion=boston&SalesRegion=seattle`, o AWS WAF avalia o nome que você especificou em `boston` e `seattle`. Se qualquer um for uma correspondência, a inspeção é uma correspondência.

## Todos os parâmetros da consulta
<a name="waf-rule-statement-request-component-all-query-params"></a>

Inspeciona todos os parâmetros de consulta na solicitação. Isso é semelhante à escolha do componente de parâmetro de consulta único, mas AWS WAF inspeciona os valores de todos os argumentos na string de consulta. Por exemplo, se o URL for `www.xyz.com?UserName=abc&SalesRegion=seattle`, o AWS WAF dispara uma correspondência se o valor `UserName` ou `SalesRegion` corresponder aos critérios de inspeção. 

A escolha dessa opção adiciona 10% WCUs ao custo base.

## Corpo
<a name="waf-rule-statement-request-component-body"></a>

Inspeciona o corpo da solicitação, avaliado como texto simples. Você também pode avaliar o corpo como JSON usando o tipo de conteúdo JSON. 

O corpo da solicitação é a parte da solicitação que segue imediatamente os cabeçalhos da solicitação. Contém quaisquer dados adicionais necessários para a solicitação da Web, por exemplo, dados de um formulário. 
+ No console, você seleciona isso na opção **Corpo** da **Opção de solicitação**, selecionando a opção **Tipo de conteúdo** **Texto simples**. 
+ Na API, na especificação da regra `FieldToMatch`, você especifica `Body` para inspecionar o corpo da solicitação como texto simples.

Para Application Load Balancer e AWS AppSync, AWS WAF pode inspecionar os primeiros 8 KB do corpo de uma solicitação. Pois CloudFront, o API Gateway, o Amazon Cognito, o App Runner e o Verified Access, por padrão, AWS WAF podem inspecionar os primeiros 16 KB e você pode aumentar o limite em até 64 KB na configuração do pacote de proteção (web ACL). Para obter mais informações, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md).

Você deve especificar o tratamento de tamanho grande para esse tipo de componente. O tratamento de tamanho grande define como AWS WAF lida com solicitações que têm dados corporais maiores do que os que AWS WAF podem ser inspecionados. Você pode optar por continuar a inspeção ou pular a inspeção e marcar a solicitação como compatível ou não com a regra. Para saber mais sobre como processar conteúdo de tamanho acima do limite, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md). 

Você também pode avaliar o corpo como JSON analisado. Para obter mais informações, consulte a seção abaixo. 

## Corpo JSON
<a name="waf-rule-statement-request-component-json-body"></a>

Inspeciona o corpo da solicitação, avaliado como JSON. Você também pode avaliar o corpo como texto simples. 

O corpo da solicitação é a parte da solicitação que segue imediatamente os cabeçalhos da solicitação. Contém quaisquer dados adicionais necessários para a solicitação da Web, por exemplo, dados de um formulário. 
+ No console, você seleciona isso na opção **Corpo** da **Opção de solicitação**, selecionando a opção **Tipo de conteúdo** **JSON**. 
+ Na API, na especificação da regra `FieldToMatch`, você especifica `JsonBody`.

Para Application Load Balancer e AWS AppSync, AWS WAF pode inspecionar os primeiros 8 KB do corpo de uma solicitação. Pois CloudFront, o API Gateway, o Amazon Cognito, o App Runner e o Verified Access, por padrão, AWS WAF podem inspecionar os primeiros 16 KB e você pode aumentar o limite em até 64 KB na configuração do pacote de proteção (web ACL). Para obter mais informações, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md).

Você deve especificar o tratamento de tamanho grande para esse tipo de componente. O tratamento de tamanho grande define como AWS WAF lida com solicitações que têm dados corporais maiores do que os que AWS WAF podem ser inspecionados. Você pode optar por continuar a inspeção ou pular a inspeção e marcar a solicitação como compatível ou não com a regra. Para saber mais sobre como processar conteúdo de tamanho acima do limite, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md). 

Escolher essa opção dobra o custo WCUs base do extrato da partida. Por exemplo, se o custo base da declaração de correspondência for 5 WCUs sem análise JSON, usar a análise JSON dobra o custo para 10. WCUs 

Para essa opção, você fornece especificações adicionais, conforme descrito na seção a seguir.

**Como AWS WAF lida com a inspeção corporal JSON**  
Ao AWS WAF inspecionar o corpo da solicitação da web como JSON, ele executa etapas para analisar o corpo e extrair os elementos JSON para inspeção. AWS WAF executa essas etapas de acordo com suas opções de configuração. 

A seguir estão listadas as etapas que são AWS WAF executadas. 

1. **Analisar o conteúdo do corpo** — AWS WAF analisa o conteúdo do corpo da solicitação da web para extrair os elementos JSON para inspeção. AWS WAF faz o possível para analisar todo o conteúdo do corpo, mas a análise pode falhar em vários estados de erro no conteúdo. Os exemplos incluem caracteres inválidos, chaves duplicadas, truncamento e conteúdo cujo nó raiz não seja um objeto ou uma matriz. 

   A opção **Body parsing fallback behavior** determina o que AWS WAF acontece se ela falhar na análise completa do corpo JSON: 
   + **Nenhum (comportamento padrão)** - AWS WAF avalia o conteúdo somente até o ponto em que ele encontrou um erro de análise. 
   + **Avaliar como string** - inspecione o corpo como texto simples. AWS WAF aplica as transformações de texto e os critérios de inspeção que você definiu para a inspeção JSON à string do corpo do texto.
   + **Corresponder** - Trate a solicitação da web como correspondente à declaração da regra. AWS WAF aplica a ação da regra à solicitação.
   + **Sem correspondência**: tratar a solicitação da Web como não correspondente à instrução de regra.
**nota**  
Esse comportamento alternativo só é acionado quando AWS WAF encontra um erro ao analisar a string JSON. 

**A análise não valida totalmente o JSON**  
AWS WAF a análise não valida totalmente a string JSON de entrada, portanto, a análise pode ser bem-sucedida mesmo para JSON inválido.

   Por exemplo, AWS WAF analisa o seguinte JSON inválido sem erros: 
   + Vírgula ausente: `{"key1":"value1""key2":"value2"}`
   + Dois pontos ausentes: `{"key1":"value1","key2""value2"}`
   + Dois pontos extras: `{"key1"::"value1","key2""value2"}`

   Para casos como esses em que a análise é bem-sucedida, mas o resultado não é um JSON totalmente válido, o resultado das etapas subsequentes da avaliação pode variar. A extração pode perder alguns elementos ou a avaliação da regra pode ter resultados inesperados. Recomendamos que você valide o JSON recebido em seu aplicativo e trate o JSON inválido conforme necessário. 

1. **Extraia os elementos JSON** — AWS WAF identifica o subconjunto de elementos JSON a serem inspecionados de acordo com suas configurações: 
   + A opção **JSON match scope** especifica os tipos de elementos no JSON que AWS WAF devem ser inspecionados. 

     Você pode especificar **chaves**, **valores** ou **tudo** para chaves e valores. 

     **Tudo** não exige que uma correspondência seja encontrada nas chaves e que uma correspondência seja encontrada nos valores. Isso requer que uma correspondência seja encontrada nas chaves, nos valores ou nos dois. Para exigir uma correspondência nas chaves e nos valores, use uma instrução lógica `AND` para combinar duas regras de correspondência, uma que inspeciona as chaves e outra que inspeciona os valores. 
   + A opção **Conteúdo a ser inspecionado** especifica como filtrar o conjunto de elementos para o subconjunto que você deseja AWS WAF inspecionar. 

     É necessário especificar um dos seguintes:
     + **Conteúdo JSON completo**: avalia todos os elementos. 
     + **Somente elementos incluídos**: avalia somente os elementos cujos caminhos correspondem aos critérios do JSON Pointer fornecidos por você. Não use essa opção para indicar *todos* os caminhos no JSON. Em vez disso, use **Conteúdo JSON completo**. 

       Para obter informações sobre a sintaxe do JSON Pointer, consulte a documentação do Internet Engineering Task Force (IETF) [JavaScript Object Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer. 

       Por exemplo, é possível fornecer o seguinte no console: 

       ```
       /dogs/0/name
       /dogs/1/name
       ```

       Na API ou na CLI, você pode fornecer o seguinte: 

       ```
       "IncludedPaths": ["/dogs/0/name", "/dogs/1/name"]
       ```

   Por exemplo, digamos que a configuração **Conteúdo a ser inspecionado** seja **Somente elementos incluídos** e a configuração de elementos incluídos seja `/a/b`. 

   Para o seguinte exemplo de corpo JSON: 

   ```
   { 
     "a":{
       "c":"d",
       "b":{
         "e":{
           "f":"g"
         }
       }
     }
   }
   ```

   Os conjuntos de elementos que AWS WAF inspecionariam cada configuração do **escopo de correspondência JSON** estão listados abaixo. Observe que a chave `b`, que faz parte do caminho dos elementos incluídos, não é avaliada.
   + **Todos**: `e`, `f,` e `g`.
   + **Chaves**: `e` e `f`.
   + **Valores**: `g`.

1. **Inspecione o conjunto de elementos JSON** — AWS WAF aplica todas as transformações de texto que você especificou aos elementos JSON extraídos e, em seguida, compara o conjunto de elementos resultante com os critérios de correspondência da declaração de regra. Esse é o mesmo comportamento de transformação e avaliação de outros componentes de solicitação da Web. Se algum dos elementos JSON extraídos corresponder, a solicitação da Web corresponderá à regra. 

# Usando endereços IP encaminhados em AWS WAF
<a name="waf-rule-statement-forwarded-ip-address"></a>

Esta seção se aplica às instruções de regras que usam o endereço IP de uma solicitação da web. Por padrão, AWS WAF usa o endereço IP da origem da solicitação da web. No entanto, se uma solicitação da web passar por um ou mais proxies ou balanceadores de carga, a origem da solicitação da web conterá o endereço do último proxy, e não o endereço de origem do cliente. Nesse caso, o endereço do cliente de origem geralmente é encaminhado em outro cabeçalho HTTP. Esse cabeçalho normalmente é `X-Forwarded-For` (XFF), mas pode ser diferente. 

**Instruções de regra que usam endereços IP**  
As instruções de regra que usam endereços IP são as seguintes:
+ [Correspondência de conjunto de IPs](waf-rule-statement-type-ipset-match.md): inspeciona o endereço IP em busca de uma correspondência com os endereços definidos em um conjunto de IPs.
+ [Correspondência geográfica](waf-rule-statement-type-geo-match.md): usa o endereço IP para determinar o país e a região de origem e corresponde o país de origem com uma lista de países.
+ [Correspondência de ASN](waf-rule-statement-type-asn-match.md)- Usa o endereço IP para determinar o Número do Sistema Autônomo (ASN) e compara o ASN com uma lista de. ASNs
+ [Como usar instruções de regras baseadas em intervalos](waf-rule-statement-type-rate-based.md): pode agregar solicitações por seus endereços IP para garantir que nenhum endereço IP individual envie solicitações em intervalos muito altos. Você pode usar a agregação de endereços IP sozinha ou em combinação com outras chaves de agregação. 

Você pode AWS WAF instruir o uso de um endereço IP encaminhado para qualquer uma dessas declarações de regra, seja do `X-Forwarded-For` cabeçalho ou de outro cabeçalho HTTP, em vez de usar a origem da solicitação da web. Para obter detalhes sobre como fornecer as especificações, consulte a orientação para os tipos individuais de instrução de regra.

**nota**  
Se um cabeçalho estiver ausente, AWS WAF avalia qualquer declaração que use esse cabeçalho como “Sem correspondência”. Se você usar uma declaração NOT com um resultado “Sem correspondência”, AWS WAF converte a avaliação em “Corresponder”. Cabeçalhos ausentes não acionam o comportamento de fallback - somente valores de cabeçalho inválidos o fazem.

**Comportamento de fallback**  
Ao usar o endereço IP encaminhado, você indica o status de correspondência AWS WAF a ser atribuído à solicitação da web se a solicitação não tiver um endereço IP válido na posição especificada: 
+ **MATCH** - Trate a solicitação da web como correspondente à declaração da regra. AWS WAF aplica a ação da regra à solicitação.
+ **Sem correspondência**: tratar a solicitação da Web como não correspondente à instrução de regra. 

**Endereços IP usados no AWS WAF Bot Control**  
O grupo de regras gerenciadas do Bot Control verifica os bots usando os endereços IP de AWS WAF. Se você usa o Controle de Bots e verificou que os bots são roteados por meio de um proxy ou balanceador de carga, é necessário permitir explicitamente que eles usem uma regra personalizada. Por exemplo, você pode configurar uma regra personalizada de correspondência de conjuntos de IP que usa endereços IP encaminhados para detectar e permitir que seus bots sejam verificados. Você pode usar a regra para personalizar seu gerenciamento de bots de várias maneiras. Para obter informações e exemplos, consulte [AWS WAF Controle de bots](waf-bot-control.md). 

**Considerações gerais sobre o uso de endereços IP encaminhados**  
Antes de usar um endereço IP encaminhado, observe as seguintes advertências gerais: 
+ Um cabeçalho pode ser modificado por proxies ao longo do caminho, e os proxies podem tratar o cabeçalho de maneiras diferentes. 
+ Os invasores podem alterar o conteúdo do cabeçalho na tentativa de contornar as inspeções do AWS WAF . 
+ O endereço IP dentro do cabeçalho pode estar incorreto ou ser inválido.
+ O cabeçalho que você especifica pode não estar presente em uma solicitação.

**Considerações sobre o uso de endereços IP encaminhados com AWS WAF**  
A lista a seguir descreve os requisitos e as advertências para o uso de endereços IP encaminhados em: AWS WAF
+ Para qualquer regra única, você pode especificar um cabeçalho para o endereço IP encaminhado. A especificação do cabeçalho não diferencia maiúsculas de minúsculas.
+ Para instruções de regras baseadas em intervalos, nenhuma instrução de escopo aninhada herda a configuração de IP encaminhada. Especifique a configuração para cada instrução que usa um endereço IP encaminhado. 
+ Para correspondência geográfica, correspondência ASN e regras baseadas em taxas, AWS WAF usa o primeiro endereço no cabeçalho. Por exemplo, se um cabeçalho contiver `10.1.1.1, 127.0.0.0, 10.10.10.10` AWS WAF usos `10.1.1.1`
+ Para correspondência de conjunto de IP, você indica se deseja corresponder ao primeiro, ao último ou a qualquer endereço no cabeçalho. Se você especificar algum, AWS WAF inspeciona todos os endereços no cabeçalho em busca de uma correspondência, até 10 endereços. Se o cabeçalho contiver mais de 10 endereços, AWS WAF inspeciona os últimos 10. 
+ Os cabeçalhos que contêm vários endereços devem usar um separador de vírgula entre os endereços. Se uma solicitação usar um separador diferente de uma vírgula, o AWS WAF considerará os endereços IP no cabeçalho incorretos.
+ Se os endereços IP dentro do cabeçalho estiverem incorretos ou forem inválidos, o AWS WAF designa a solicitação da web como compatível ou não com a regra, de acordo com o comportamento de fallback especificado na configuração de IP encaminhado.
+ Se o cabeçalho que você especificar não estiver presente em uma solicitação, AWS WAF a regra não será aplicada à solicitação. Isso significa que AWS WAF não aplica a ação da regra e não aplica o comportamento alternativo.
+ Uma instrução de regra que usa um cabeçalho IP encaminhado para o endereço IP não usará o endereço IP informado pela origem da solicitação da web.

**Práticas recomendadas para usar endereços IP encaminhados com AWS WAF**  
Ao usar endereços IP encaminhados, siga as seguintes práticas recomendadas: 
+ Considere cuidadosamente todos os estados possíveis dos cabeçalhos de sua solicitação antes de ativar a configuração de IP encaminhado. Talvez seja necessário usar mais de uma regra para obter o comportamento desejado.
+ Para inspecionar vários cabeçalhos de IP encaminhados ou inspecionar a origem da solicitação da web e um cabeçalho de IP encaminhado, use uma regra para cada fonte de endereço IP. 
+ Para bloquear solicitações da web que tenham um cabeçalho inválido, defina a ação de regra para bloquear e defina o comportamento de fallback para que a configuração de IP encaminhado corresponda. 

**Exemplo de JSON para endereços IP encaminhados**  
A seguinte instrução de correspondência geográfica corresponde somente se o cabeçalho `X-Forwarded-For` contiver um IP cujo país de origem seja `US`: 

```
{
  "Name": "XFFTestGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestGeo"
  },
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ],
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

A seguinte regra baseada em intervalos agrega solicitações com base no primeiro IP no cabeçalho `X-Forwarded-For`. A regra conta somente as solicitações que correspondem à instrução de correspondência geográfica aninhada e bloqueia somente as solicitações que correspondem à instrução de correspondência geográfica. A instrução de correspondência geográfica aninhada também usa o cabeçalho `X-Forwarded-For` para determinar se o endereço IP indica um país de origem de `US`. Em caso afirmativo, ou se o cabeçalho estiver presente, mas malformado, a instrução de correspondência geográfica retornará uma correspondência. 

```
{
  "Name": "XFFTestRateGeo",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "XFFTestRateGeo"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": "100",
      "AggregateKeyType": "FORWARDED_IP",
      "ScopeDownStatement": {
        "GeoMatchStatement": {
          "CountryCodes": [
            "US"
          ],
          "ForwardedIPConfig": {
            "HeaderName": "x-forwarded-for",
            "FallbackBehavior": "MATCH"
          }
        }
      },
      "ForwardedIPConfig": {
        "HeaderName": "x-forwarded-for",
        "FallbackBehavior": "MATCH"
      }
    }
  }
}
```

# Inspecionando pseudo-cabeçalhos HTTP/2 em AWS WAF
<a name="waf-rule-statement-request-components-for-http2-pseudo-headers"></a>

Esta seção explica como você pode usar AWS WAF para inspecionar pseudo-cabeçalhos HTTP/2.

 AWS Os recursos protegidos que oferecem suporte ao tráfego HTTP/2 não encaminham pseudocabeçalhos HTTP/2 AWS WAF para inspeção, mas fornecem conteúdo de pseudo-cabeçalhos em componentes de solicitação da web que inspecionam. AWS WAF 

Você pode usar AWS WAF para inspecionar somente os pseudo-cabeçalhos listados na tabela a seguir. 


**Conteúdo do pseudocabeçalho HTTP/2 mapeado para componentes de solicitação da web**  

| Pseudocabeçalho HTTP/2 | Componente de solicitação da web para inspecionar | Documentação | 
| --- | --- | --- | 
|  `:method`  |  Método HTTP   |  [Método HTTP](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-http-method)  | 
|  `:authority`  |  `Host`Cabeçalho   |  [Cabeçalho único](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-header)  [Todos os cabeçalhos](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-headers)  | 
|  Caminho do URI `:path`  | Caminho do URI  | [Caminho do URI](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-uri-path) | 
|  `:path` query  |  String de consulta  |  [String de consulta](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-query-string) [Parâmetro de consulta única](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-single-query-param) [Todos os parâmetros da consulta](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-all-query-params)  | 

# Usando transformações de texto em AWS WAF
<a name="waf-rule-statement-transformation"></a>

Esta seção explica como fornecer transformações para AWS WAF serem aplicadas antes de inspecionar a solicitação.

Nas instruções que buscam padrões ou definem restrições, você pode fornecer transformações para serem aplicadas antes de inspecionar AWS WAF a solicitação. A transformação reformata uma solicitação da Web para eliminar algumas das formatações incomuns que os invasores usam em uma tentativa de contornar o AWS WAF. 

Quando você usa isso com a seleção do componente de solicitação de corpo JSON, o AWS WAF aplica suas transformações após analisar e extrair os elementos a serem inspecionados do JSON. Para saber mais, consulte [Corpo JSON](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-json-body).

Se você fornecer mais de uma transformação, também definirá a ordem em que o AWS WAF deve aplicá-las. 

**WCUs**— Cada transformação de texto é 10WCUs.

A documentação do AWS WAF console e da API também fornece orientação para essas configurações nos seguintes locais: 
+ **Criador de regras** no console: **Transformação de texto**. Essa opção está disponível quando você usa componentes de solicitação. 
+ **Conteúdo da instrução da API**: `TextTransformations`Opções para transformações de texto

Cada listagem de transformação mostra as especificações do console e da API seguidas pela descrição.

Base64 decode – `BASE64_DECODE`  
AWS WAF decodifica uma string codificada em Base64.

Base64 decode extension – `BASE64_DECODE_EXT`  
AWS WAF decodifica uma string codificada em Base64, mas usa uma implementação indulgente que ignora caracteres que não são válidos. 

Command line – `CMD_LINE`  
Esta opção mitiga situações em que os atacantes podem estar injetando um comando de linha de comando do sistema operacional e estão usando formatação incomum para disfarçar todo o comando ou parte dele.   
Use essa opção para executar as seguintes transformações:  
+ Excluir os seguintes caracteres: `\ " ' ^`
+ Excluir espaços antes os seguintes caracteres: `/ (`
+ Substituir os seguintes caracteres por um espaço: `, ;`
+ Substituir vários espaços por um espaço
+ Converter as letras maiúsculas, `A-Z`, em minúsculas, `a-z`

Compress whitespace – `COMPRESS_WHITE_SPACE`  
AWS WAF comprime o espaço em branco substituindo vários espaços por um espaço e substituindo os seguintes caracteres por um caractere de espaço (ASCII 32):  
+ Quebra de página (ASCII 12)
+ Tabulação (ASCII 9)
+ Nova linha (ASCII 10)
+ Retorno de carro (ASCII 13)
+ Tabulação vertical (ASCII 11)
+ Espaço rígido (ASCII 160)

CSS decode – `CSS_DECODE`  
AWS WAF decodifica caracteres que foram codificados usando regras de escape CSS 2.x. `syndata.html#characters` Essa função utiliza até dois bytes no processo de decodificação e, portanto, pode ajudar a descobrir caracteres ASCII codificados com CSS que normalmente não seriam codificados. Ela também é útil para combater a evasão, que é uma combinação de barra invertida e caracteres não hexadecimais. Por exemplo, `ja\vascript` para `javascript`.

Escape sequences decode – `ESCAPE_SEQ_DECODE`  
AWS WAF decodifica as seguintes sequências de escape ANSI C:`\a`,,`\b`,`\f`,,`\n`,`\r`,`\t`, `\v` `\\``\?`, `\xHH` (hexadecimal) `\'``\"`, (octal). `\0OOO` As codificações que não são válidas permanecem na saída.

Hex decode – `HEX_DECODE`  
AWS WAF decodifica uma sequência de caracteres hexadecimais em um binário.

HTML entity decode – `HTML_ENTITY_DECODE`  
AWS WAF substitui os caracteres representados em formato hexadecimal `&#xhhhh;` ou decimal pelos caracteres correspondentes. `&#nnnn;`  
AWS WAF substitui os seguintes caracteres codificados em HTML por caracteres não codificados. Essa lista usa codificação HTML em minúsculas, mas o tratamento não diferencia maiúsculas de minúsculas, por exemplo, `&QuOt;` e `&quot;` são tratados da mesma forma.       
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/waf-rule-statement-transformation.html)

JS decode – `JS_DECODE`  
AWS WAF decodifica sequências de JavaScript escape. Se um código `\uHHHH` estiver no intervalo de código ASCII de largura total de `FF01-FF5E`, o byte maior será utilizado para detectar e ajustar o byte menor. Caso contrário, somente o byte menor será utilizado, e o byte maior será zerado, causando uma possível perda de informações.

Lowercase – `LOWERCASE`  
AWS WAF converte letras maiúsculas (A-Z) em minúsculas (a-z).

MD5 – `MD5`  
AWS WAF calcula um MD5 hash a partir dos dados na entrada. O hash calculado está em um formato binário bruto.

None – `NONE`  
AWS WAF inspeciona a solicitação da web conforme recebida, sem nenhuma transformação de texto. 

Normalize path – `NORMALIZE_PATH`  
AWS WAF normaliza a string de entrada removendo várias barras, autorreferências de diretório e referências anteriores de diretório que não estão no início da entrada.

Normalize path Windows – `NORMALIZE_PATH_WIN`  
AWS WAF converte caracteres de barra invertida em barras progressivas e, em seguida, processa a string resultante usando a transformação. `NORMALIZE_PATH`

Remove nulls – `REMOVE_NULLS`  
AWS WAF remove todos os `NULL` bytes da entrada. 

Replace comments – `REPLACE_COMMENTS`  
AWS WAF substitui cada ocorrência de um comentário no estilo C (/\$1... \$1/) por um único espaço. Ele não comprime várias ocorrências consecutivas. Substitui comentários sem término por um espaço (ASCII 0x20). Isso não altera o encerramento independente de um comentário (\$1/).

Replace nulls – `REPLACE_NULLS`  
AWS WAF substitui cada `NULL` byte na entrada pelo caractere de espaço (ASCII 0x20).

SQL hex decode – `SQL_HEX_DECODE`  
AWS WAF decodifica dados hexadecimais SQL. Por exemplo, AWS WAF decodifica (`0x414243`) para (`ABC`).

URL decode – `URL_DECODE`  
AWS WAF decodifica um valor codificado em URL.

URL decode Unicode – `URL_DECODE_UNI`  
Como `URL_DECODE`, mas com suporte para codificação `%u` específica da Microsoft. Se o código estiver no intervalo de código ASCII de largura total de `FF01-FF5E`, o byte maior será utilizado para detectar e ajustar o byte menor. Caso contrário, somente o byte menor será utilizado, e o byte maior será zerado.

UTF8 to Unicode – `UTF8_TO_UNICODE`  
AWS WAF converte todas as sequências de caracteres UTF-8 em Unicode. Isso ajuda a normalizar a entrada e a minimizar falsos positivos e falso-negativos para idiomas diferentes do inglês.

# Usando declarações de escopo reduzido em AWS WAF
<a name="waf-rule-scope-down-statements"></a>

Esta seção explica o que é uma instrução de escopo reduzido e como ela funciona.

Uma instrução de redução de escopo é uma instrução de regra aninhável que você adiciona dentro de uma instrução de grupo de regras gerenciadas ou em uma instrução baseada em intervalo para restringir o conjunto de solicitações que a regra que a contém avalia. A regra de contenção avalia apenas as solicitações que correspondem primeiro à instrução de redução de escopo. 
+ **Declaração de grupo de regras gerenciadas** — Se você adicionar uma instrução de escopo reduzido a uma instrução de grupo de regras gerenciadas, AWS WAF avaliará qualquer solicitação que não corresponda à instrução de escopo inferior como não correspondente ao grupo de regras. As solicitações apenas serão avaliadas pelo grupo de regras se corresponderem à instrução de redução de escopo. Para grupos de regras gerenciadas com preços baseados no número de solicitações avaliadas, as instruções de redução de escopo podem ajudar a conter os custos. 

  Para saber mais sobre instruções de grupos de regras gerenciadas, consulte [Usando declarações de grupos de regras gerenciadas em AWS WAF](waf-rule-statement-type-managed-rule-group.md).
+ **Instrução de regra baseada em intervalos**: uma instrução de regra baseada em intervalos sem uma instrução de redução de escopo limita todas as solicitações que a regra avalia. Se você quiser controlar somente o intervalo de uma categoria específica de solicitações, adicione uma instrução de redução de escopo à regra baseada em intervalos. Por exemplo, para acompanhar e controlar somente a taxa de solicitações de uma área geográfica específica, você pode especificar essa área geográfica em uma instrução de correspondência geográfica e adicioná-la à sua regra baseada em intervalos como a instrução de redução de escopo. 

  Para saber mais sobre regras baseadas em intervalos, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md).

É possível usar qualquer regra aninhável em uma instrução de redução de escopo. Para ver as instruções disponíveis, consulte [Usando declarações de regras de correspondência em AWS WAF](waf-rule-statements-match.md) e [Usando declarações de regras lógicas em AWS WAF](waf-rule-statements-logical.md). As WCUs instruções for a scope-down são as WCUs necessárias para a declaração de regra que você define nela. Não há custos adicionais pelo uso de uma instrução de redução de escopo.

Você pode configurar uma instrução de redução de escopo da mesma forma que você faz quando usa a instrução em uma regra regular. Por exemplo, você pode aplicar transformações de texto a um componente de solicitação da web que está inspecionando e especificar um endereço IP encaminhado para usar como endereço IP. Essas configurações se aplicam somente à instrução de redução de escopo não são herdadas pelo grupo de regras gerenciadas que o contém ou pela instrução de regra baseada em intervalos. 

Por exemplo, se você aplicar transformações de texto a uma string de consulta em sua instrução de redução de escopo, a instrução de redução de escopo inspeciona a string de consulta depois de aplicar as transformações. Se a solicitação corresponder aos critérios da instrução de redução de escopo, o AWS WAF passará a solicitação da web para a regra que a contém em seu estado original, sem as transformações da instrução de redução de escopo. A regra que contém a instrução de redução de escopo pode aplicar suas próprias transformações de texto, mas não herda nenhuma da instrução de redução de escopo. 

Você não pode usar uma instrução de redução de escopo para especificar qualquer configuração de inspeção de solicitação para a instrução de regra que a contém. Você não pode usar uma instrução de redução de escopo como pré-processador de solicitações da web para a instrução de regra que a contém. A única função de uma instrução de redução de escopo é determinar quais solicitações são passadas para a instrução de regra que a contém para inspeção. 

# Referenciando entidades reutilizáveis em AWS WAF
<a name="waf-rule-statement-reusable-entities"></a>

Esta seção explica como as entidades reutilizáveis funcionam no AWS WAF.

Algumas regras usam entidades que são reutilizáveis e gerenciadas fora da sua webACLs, seja por você ou por um AWS Marketplace vendedor. AWS Quando a entidade reutilizável é atualizada, o AWS WAF propaga a atualização para sua regra. Por exemplo, se você usar um grupo de regras AWS gerenciadas em um pacote de proteção (web ACL), ao AWS atualizar o grupo de regras, AWS propagará a alteração para sua ACL da web para atualizar seu comportamento. Se você usar uma instrução de conjunto de IP em uma regra, ao atualizar o conjunto, a alteração será AWS WAF propagada para todas as regras que fazem referência a ela. Portanto, todos os pacotes de proteção (web ACLs) que usam essas regras são mantidos up-to-date com suas alterações. 

A seguir estão as entidades reutilizáveis que você pode usar em uma instrução de regra. 
+ **Conjuntos de IPs**: Você cria e gerencia seus próprios conjuntos de IPs. No console, você pode acessá-los a partir do painel de navegação. Para obter informações sobre como gerenciar conjuntos de IPs, consulte [Conjuntos de IP e conjuntos de padrões regex em AWS WAF](waf-referenced-set-managing.md). 
+ **Conjuntos de correspondências regex**: você cria e gerencia seus próprios conjuntos de correspondências regex. No console, você pode acessá-los a partir do painel de navegação. Para obter informações sobre como gerenciar conjuntos de padrões de regex, consulte [Conjuntos de IP e conjuntos de padrões regex em AWS WAF](waf-referenced-set-managing.md). 
+ **AWS Grupos de regras gerenciadas** — AWS gerencia esses grupos de regras. No console, eles estão disponíveis para seu uso quando você adiciona um grupo de regras gerenciadas ao pacote de proteção (ACL da Web). Para saber mais sobre essas ferramentas, consulte [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md).
+ **AWS Marketplace grupos de regras gerenciados** — AWS Marketplace os vendedores gerenciam esses grupos de regras e você pode se inscrever neles para usá-los. Para gerenciar suas assinaturas, no painel de navegação do console, escolha **AWS Marketplace**. Os grupos de regras AWS Marketplace gerenciadas são listados quando você adiciona um grupo de regras gerenciadas ao seu pacote de proteção (web ACL). Para grupos de regras nos quais você ainda não se inscreveu, você também pode encontrar um link AWS Marketplace nessa página. Para obter mais informações sobre grupos de regras gerenciados pelo AWS Marketplace vendedor, consulte[AWS Marketplace grupos de regras](marketplace-rule-groups.md).
+ **Seus próprios grupos de regras**: você gerencia seus próprios grupos de regras, geralmente quando você precisa de algum comportamento que não esteja disponível por meio dos grupos de regras gerenciados. No console, você pode acessá-los a partir do painel de navegação. Para saber mais, consulte [Gerenciar seus próprios grupos de regras](waf-user-created-rule-groups.md).

**Como excluir um conjunto referenciado ou grupo de regras**  
Quando você exclui uma entidade referenciada, AWS WAF verifica se ela está sendo usada atualmente em um pacote de proteção (Web ACL). Se AWS WAF descobrir que está em uso, ele avisa você. AWS WAF quase sempre é capaz de determinar se uma entidade está sendo referenciada por um pacote de proteção (web ACL). No entanto, em casos raros, pode não ser possível fazer isso. Se você precisar ter certeza de que a entidade que você deseja excluir não está em uso, verifique-a na sua web ACLs antes de excluí-la.

# Usando declarações de regras de correspondência em AWS WAF
<a name="waf-rule-statements-match"></a>

Esta seção explica o que é uma instrução de correspondência e como ela funciona.

As instruções de regra de correspondência comparam a solicitação da Web ou sua origem com as condições fornecidas por você. Para muitas declarações desse tipo, AWS WAF compara um componente específico da solicitação de conteúdo correspondente. 

As instruções de correspondência são aninháveis. Você pode aninhar qualquer uma dessas instruções em instruções de regras lógicas e usá-las em instruções de redução de escopo. Para obter mais informações sobre instruções de regras lógicas, consulte [Usando declarações de regras lógicas em AWS WAF](waf-rule-statements-logical.md). Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

Esta tabela descreve as instruções de correspondência regular que você pode adicionar a uma regra e fornece algumas diretrizes para calcular o uso de unidades de capacidade de pacote de proteção (ACL da Web) (WCU) para cada uma delas. Para obter informações sobre WCUs, consulte[Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md). 


| Instrução de correspondência | Description | WCUs | 
| --- | --- | --- | 
| [Correspondência geográfica](waf-rule-statement-type-geo-match.md) | Inspeciona o país de origem da solicitação e aplica rótulos para o país e a região de origem.  | 1 | 
|  [Correspondência de ASN](waf-rule-statement-type-asn-match.md)  |  Inspeciona a solicitação em relação a um conjunto de endereços IP e intervalos de endereços.  |  1  | 
|  [Correspondência de conjunto de IPs](waf-rule-statement-type-ipset-match.md)  |  Inspeciona a solicitação em comparação com um conjunto de endereços IP e intervalos de endereços.   |  1 para a maioria dos casos. Se você configurar a instrução para usar um cabeçalho com endereços IP encaminhados e especificar uma posição no cabeçalho deAny, aumente em 4. WCUs   | 
|  [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md)  |  Inspeciona a solicitação de rótulos que foram adicionados por outras regras no mesmo pacote de proteção (ACL da Web).  |  1   | 
| [Instrução de regra de correspondência de regex](waf-rule-statement-type-regex-match.md) | Compara um padrão regex com um componente de solicitação especificado.  | 3, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs.  | 
|  [Conjunto padrão Regex](waf-rule-statement-type-regex-pattern-set-match.md)  |  Compara padrões regex com um componente de solicitação especificado.   |  25 por conjunto de padrões, como custo base.  Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs.  | 
| [Restrição de tamanho](waf-rule-statement-type-size-constraint-match.md) | Verifica restrições de tamanho em relação a um componente de solicitação especificado.  | 1, como custo base.  Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs.  | 
| [SQLiataque](waf-rule-statement-type-sqli-match.md) | Inspeciona o código SQL mal-intencionado em um componente de solicitação especificado.  | 20, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs. | 
| [Correspondência de strings](waf-rule-statement-type-string-match.md) | Compara uma string com um componente de solicitação especificado.  |  O custo base depende do tipo de correspondência de string e está entre 1 e 10. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs.  | 
| [Ataque de script XSS](waf-rule-statement-type-xss-match.md) | Inspeciona ataques de script entre sites em um componente de solicitação especificado.  | 40, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs. | 

# Instrução de regra de correspondência geográfica
<a name="waf-rule-statement-type-geo-match"></a>

Esta seção explica o que é uma instrução de correspondência geográfica e como ela funciona.

Use instruções de correspondência geográfica para gerenciar solicitações da web com base no país e na região de origem. Uma instrução de correspondência geográfica adiciona rótulos às solicitações da web que indicam o país de origem e a região de origem. Ela adiciona esses rótulos independentemente de os critérios da instrução corresponderem à solicitação. Uma instrução de correspondência geográfica também realiza a correspondência com o país de origem da solicitação.

## Como usar a instrução de correspondência geográfica
<a name="waf-rule-statement-geo-how-to-use"></a>

Você pode usar a instrução de correspondência geográfica para correspondência de país ou região, da seguinte forma: 
+ **País** — Você pode usar uma regra de correspondência geográfica sozinha para gerenciar solicitações com base apenas no país de origem. A instrução de regra faz correspondência em relação aos códigos de país. Você também pode seguir uma regra de correspondência geográfica com uma regra de correspondência de rótulo que corresponda ao rótulo do país de origem. 
**nota**  
Para filtrar o tráfego de Hong Kong, use o código de país ISO 3166-1 alfa-2 `HK` na instrução de correspondência geográfica.
+ **Região** — Use uma regra de correspondência geográfica seguida por uma regra de correspondência de rótulo para gerenciar solicitações com base na região de origem. Você não pode usar uma regra de correspondência geográfica sozinha para fazer correspondência em relação aos códigos de região.

Para obter informações sobre o uso de regras de correspondência de rótulos, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

## Como funciona a instrução de correspondência geográfica
<a name="waf-rule-statement-geo-how-it-works"></a>

Com a declaração de correspondência geográfica, AWS WAF gerencia cada solicitação da web da seguinte forma: 

1. **Determina os códigos de país e região da solicitação** — AWS WAF determina o país e a região de uma solicitação com base em seu endereço IP. Por padrão, AWS WAF usa o endereço IP da origem da solicitação da web. Você pode AWS WAF instruir o uso de um endereço IP de um cabeçalho de solicitação alternativo, por exemplo`X-Forwarded-For`, habilitando a configuração de IP encaminhado nas configurações da declaração de regra. 

   AWS WAF determina a localização das solicitações usando bancos de dados MaxMind GeoIP. MaxMind relata uma precisão muito alta de seus dados em nível de país, embora a precisão varie de acordo com fatores como país e tipo de IP. Para obter mais informações sobre MaxMind, consulte [Geolocalização MaxMind IP](https://support.maxmind.com/hc/en-us/sections/4407519834267-IP-Geolocation). [Se você achar que algum dado do GeoIP está incorreto, você pode enviar uma solicitação de correção para a Maxmind em MaxMind Correct Geo Data. IP2 ](https://support.maxmind.com/hc/en-us/articles/4408252036123-GeoIP-Correction)

   AWS WAF usa os códigos alfa-2 de país e região do padrão 3166 da Organização Internacional de Padronização (ISO). Você pode encontrar os códigos nos seguintes locais:
   + No site da ISO, você pode pesquisar os códigos dos países na [Plataforma de navegação online da ISO (OBP)](https://www.iso.org/obp/ui#home). 
   + Na Wikipedia, os códigos de país estão listados na [ISO 3166-2](https://en.wikipedia.org/wiki/ISO_3166-2).

     Os códigos de região de um país estão listados na URL `https://en.wikipedia.org/wiki/ISO_3166-2:<ISO country code>`. Por exemplo, as regiões dos Estados Unidos estão em [ISO 3166-2:US](https://en.wikipedia.org/wiki/ISO_3166-2:US) e as da Ucrânia estão em [ISO 3166-2:UA](https://en.wikipedia.org/wiki/ISO_3166-2:UA).

1. **Determina o rótulo do país e o rótulo da região a serem adicionados à solicitação** — Os rótulos indicam se a instrução de correspondência geográfica usa o IP de origem ou uma configuração de IP encaminhado.
   + **IP de origem** 

     O rótulo do país é `awswaf:clientip:geo:country:<ISO country code>`. Por exemplo, `awswaf:clientip:geo:country:US` para os Estados Unidos.

     O rótulo da região é `awswaf:clientip:geo:region:<ISO country code>-<ISO region code>`. Exemplo para Oregon nos Estados Unidos: `awswaf:clientip:geo:region:US-OR`.
   + **IP encaminhado** 

     O rótulo do país é `awswaf:forwardedip:geo:country:<ISO country code>`. Por exemplo, `awswaf:forwardedip:geo:country:US` para os Estados Unidos.

     O rótulo da região é `awswaf:forwardedip:geo:region:<ISO country code>-<ISO region code>`. Exemplo para Oregon nos Estados Unidos: `awswaf:forwardedip:geo:region:US-OR`.

   Se o código do país ou região não estiver disponível para o endereço IP especificado de uma solicitação, o AWS WAF usa `XX` nos rótulos, no lugar do valor. Por exemplo, o rótulo a seguir é para um IP de cliente cujo código de país não está disponível: `awswaf:clientip:geo:country:XX`, e o seguinte é para um IP encaminhado cujo país são os Estados Unidos, mas cujo código de região não está disponível: `awswaf:forwardedip:geo:region:US-XX`. 

1. **Avalia o código do país da solicitação em relação aos critérios da regra** 

A instrução de correspondência geográfica adiciona rótulos de país e região a todas as solicitações que ela inspeciona, independentemente de encontrar uma correspondência. 

**nota**  
AWS WAF adiciona qualquer rótulo ao final da avaliação da solicitação web de uma regra. Por esse motivo, qualquer correspondência de rótulo usada com os rótulos de uma instrução de correspondência geográfica deve ser definida em uma regra separada da regra que contém a instrução de correspondência geográfica. 

Se quiser inspecionar somente valores de região, você pode escrever uma regra de correspondência geográfica com ação Count e com uma única correspondência de código de país, seguida por uma regra de correspondência de rótulos para os rótulos de região. Você deve fornecer um código de país para que a regra de correspondência geográfica seja avaliada, mesmo para essa abordagem. Você pode reduzir o registro em log e as métricas especificando um país que provavelmente não será uma origem de tráfego para seu site. 

## CloudFront distribuições e o recurso de CloudFront restrição geográfica
<a name="cloudfront-distributions-geo-restriction"></a>

Para CloudFront distribuições, se você usar CloudFront o recurso de restrição geográfica, saiba que o recurso não encaminha solicitações bloqueadas para o. AWS WAF Ele encaminha as solicitações permitidas para AWS WAF. Se você quiser bloquear solicitações com base na geografia e em outros critérios que você pode especificar AWS WAF, use a declaração de correspondência AWS WAF geográfica e não use o recurso de restrição CloudFront geográfica. 

## Características das instruções de regras
<a name="geo-match-statement-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs **— 1 WCU.

**Configurações**: essa instrução usa as seguintes configurações: 
+ **Códigos de país**: uma matriz de códigos de país para comparar em uma correspondência geográfica. Estes devem ser códigos de país de dois caracteres, por exemplo, `["US","CN"]`, dos códigos ISO de países alfa-2 da norma internacional ISO 3166. 
+ **(Opcional) Configuração de IP encaminhada** — Por padrão, AWS WAF usa o endereço IP na origem da solicitação da web para determinar o país de origem. Como alternativa, você pode configurar a regra para usar um IP encaminhado em um cabeçalho HTTP, como `X-Forwarded-For` alternativa. AWS WAF usa o primeiro endereço IP no cabeçalho. Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Para saber mais, consulte [Como usar endereços IP encaminhados](waf-rule-statement-forwarded-ip-address.md). 

## Onde encontrar essa instrução de regra
<a name="geo-match-statement-where-to-find"></a>
+ **Criador de regras** no console: para a **opção Solicitação**, escolha **Origina de um país em**.
+ **API**: [GeoMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_GeoMatchStatement.html)

## Exemplos
<a name="waf-rule-statement-geo-examples"></a>

Você pode usar a instrução de correspondência geográfica para gerenciar solicitações de países ou regiões específicos. Por exemplo, se deseja bloquear determinados países, mas ainda permitir solicitações de um conjunto específico de endereços IP nesses países, você pode criar uma regra com a ação definida como Block e as seguintes instruções aninhadas, mostradas no pseudocódigo:
+ Instrução AND
  + Instrução de correspondência geográfica que relaciona os países que você quer bloquear
  + Instrução NOT 
    + Instrução de conjunto de IPs que especifica os endereços IP que você deseja permitir

Ou, se você quiser bloquear algumas regiões em determinados países, mas ainda permitir solicitações de outras regiões nesses países, você pode primeiro definir uma regra de correspondência geográfica com a ação definida como Count. Em seguida, defina uma regra de correspondência de rótulos que corresponda aos rótulos de correspondência geográfica adicionados e gerencie as solicitações conforme necessário. 

O pseudocódigo a seguir descreve um exemplo dessa abordagem:

1. Instrução de correspondência geográfica listando os países com regiões que você deseja bloquear, mas com a ação definida como Contagem. Isso rotula todas as solicitações da web, independentemente do status da correspondência, e também fornece métricas de contagem para os países de interesse. 

1. Instrução `AND` com ação de bloqueio
   + Instrução de correspondência de rótulos que especifica os rótulos dos países que você deseja bloquear
   + Instrução `NOT` 
     + Instrução de correspondência de rótulos que especifica os rótulos das regiões nos países que você deseja permitir a passagem

A lista JSON a seguir mostra uma implementação das duas regras descritas no pseudocódigo anterior. Essas regras bloqueiam todo o tráfego dos Estados Unidos, exceto o tráfego de Oregon e Washington. A instrução de correspondência geográfica adiciona rótulos de país e região a todas as solicitações que ela inspeciona. A regra de correspondência de rótulos é executada após a regra de correspondência geográfica, para que possa corresponder aos rótulos de país e região que a regra de correspondência geográfica acabou de adicionar. A instrução de correspondência geográfica usa um endereço IP encaminhado, portanto, a correspondência de rótulos também especifica rótulos de IPs encaminhados. 

```
{
   "Name": "geoMatchForLabels",
   "Priority": 10,
   "Statement": {
     "GeoMatchStatement": {
       "CountryCodes": [
         "US"
       ],
       "ForwardedIPConfig": {
           "HeaderName": "X-Forwarded-For",
           "FallbackBehavior": "MATCH"
       }
     }
   },
   "Action": {
     "Count": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "geoMatchForLabels"
   }
},
{
   "Name": "blockUSButNotOROrWA",
   "Priority": 11,
   "Statement": {
     "AndStatement": {
       "Statements": [
         {
           "LabelMatchStatement": {
             "Scope": "LABEL",
             "Key": "awswaf:forwardedip:geo:country:US"
           }
         },
         {
           "NotStatement": {
             "Statement": {
                "OrStatement": {
                  "Statements": [
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-OR"
                       }
                    },
                    {
                       "LabelMatchStatement": {
                         "Scope": "LABEL",
                         "Key": "awswaf:forwardedip:geo:region:US-WA"
                       }
                    }
                 ]
               }
             }
           }
         }
       ]
     }
   },
   "Action": {
     "Block": {}
   },
   "VisibilityConfig": {
     "SampledRequestsEnabled": true,
     "CloudWatchMetricsEnabled": true,
     "MetricName": "blockUSButNotOROrWA"
   }
}
```

Como outro exemplo, você pode combinar a correspondência geográfica com regras baseadas em intervalos para priorizar recursos para usuários em um determinado país ou região. Você cria uma instrução com base em intervalos diferente para cada instrução de correspondência geográfica ou de correspondência de rótulo que você usa para diferenciar seus usuários. Defina um limite de intervalo mais alto para usuários no país ou região preferido e um limite de intervalo mais baixo para os outros usuários. 

A lista JSON a seguir mostra uma regra de correspondência geográfica seguida por regras baseadas em intervalos que limitam o intervalo de tráfego dos Estados Unidos. As regras permitem que o tráfego do Oregon chegue a um intervalo mais alto do que o tráfego de qualquer outro lugar do país. 

```
{
  "Name": "geoMatchForLabels",
  "Priority": 190,
  "Statement": {
    "GeoMatchStatement": {
      "CountryCodes": [
        "US"
      ]
    }
  },
  "Action": {
    "Count": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "geoMatchForLabels"
  }
},
{
  "Name": "rateLimitOregon",
  "Priority": 195,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 3000,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:clientip:geo:region:US-OR"
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitOregon"
  }
},
{
  "Name": "rateLimitUSNotOR",
  "Priority": 200,
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "AggregateKeyType": "IP",
      "ScopeDownStatement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:clientip:geo:country:US"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:clientip:geo:region:US-OR"
                  }
                }
              }
            }
          ]
        }
      }
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "rateLimitUSNotOR"
  }
}
```

# Instrução de regra de correspondência de conjunto de IPs
<a name="waf-rule-statement-type-ipset-match"></a>

Esta seção explica o que é uma instrução de correspondência de conjunto de IP e como ela funciona.

A instrução de correspondência de conjunto de IPs inspeciona o endereço IP de uma solicitação da Web em relação a um conjunto de endereços IP e intervalos de endereços. Use para permitir ou bloquear solicitações da Web com base nos endereços IP dos quais as solicitações são originadas. Por padrão, o AWS WAF usa o endereço IP da origem da solicitação da web, mas você pode configurar a regra para usar um cabeçalho HTTP, como `X-Forwarded-For`. 



AWS WAF suporta todos IPv4 os intervalos IPv6 CIDR, exceto o. `/0` Para saber mais sobre a notação CIDR, consulte o artigo na Wikipédia sobre [CIDR](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing). Um conjunto de IPs pode conter até 10.000 endereços IP ou intervalos de endereços IP para verificar.

**nota**  
Cada regra de correspondência de conjunto de IP faz referência a um conjunto de IP, que você cria e mantém independente de suas regras. Você pode usar um único conjunto de IP em várias regras e, ao atualizar o conjunto referenciado, atualiza AWS WAF automaticamente todas as regras que fazem referência a ele.   
Para obter informações sobre como criar e gerenciar um conjunto de IP, consulte [Criando e gerenciando um conjunto de IP no AWS WAF](waf-ip-set-managing.md).

Ao adicionar ou atualizar as regras em seu grupo de regras ou no pacote de proteção (ACL da Web), escolha a opção **conjunto de IPs** e selecione o nome do conjunto de IPs que deseja usar. 

## Características das instruções de regras
<a name="ipset-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 1 WCU para a maioria. Se você configurar a instrução para usar endereços IP encaminhados e especificar uma posição de ANY, aumente o uso da WCU em 4.

Essa instrução usa as seguintes configurações: 
+ **Especificação do conjunto de IP**: Escolha o conjunto de IPs que você deseja usar na lista ou crie um novo. 
+ **(Opcional) Configuração de IP encaminhado**: um nome de cabeçalho de IP encaminhado alternativo para usar no lugar da origem da solicitação. Você especifica se deseja corresponder ao primeiro, ao último ou a qualquer endereço no cabeçalho. Você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Para saber mais, consulte [Como usar endereços IP encaminhados](waf-rule-statement-forwarded-ip-address.md). 

## Onde encontrar essa instrução de regra
<a name="ipset-match-where-to-find"></a>

**Onde encontrar essa instrução de regra**
+ **Criador de regras** no console: para a **opção Solicitação**, escolha **Origina de um endereço IP em**.
+ Página **Adicionar minhas próprias regras e grupos de regras** no console: Escolha a opção de **conjunto de IP**.
+ **API**: [IPSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_IPSetReferenceStatement.html)

# Instrução de regra de correspondência de número de sistema autônomo (ASN)
<a name="waf-rule-statement-type-asn-match"></a>

Uma declaração de regra de correspondência de ASN AWS WAF permite que você inspecione o tráfego da web com base no Número do Sistema Autônomo (ASN) associado ao endereço IP da solicitação. ASNs são identificadores exclusivos atribuídos a grandes redes de Internet gerenciadas por organizações como provedores de serviços de Internet, empresas, universidades ou agências governamentais. Ao usar instruções de correspondência de ASN, você pode permitir ou bloquear o tráfego de organizações de rede específicas sem precisar gerenciar endereços IP individuais. Essa abordagem oferece uma maneira mais estável e eficiente de controlar o acesso em comparação com as regras baseadas em IP, pois ASNs mudam com menos frequência do que os intervalos de IP. 

A correspondência de ASN é particularmente útil para cenários como bloquear o tráfego de redes problemáticas conhecidas ou permitir o acesso somente de redes de parceiros confiáveis. A instrução de correspondência do ASN fornece flexibilidade na determinação do endereço IP do cliente por meio da configuração opcional de IP encaminhado, tornando-a compatível com várias configurações de rede, incluindo aquelas que usam redes de distribuição de conteúdo (CDNs) ou proxies reversos.

**nota**  
A correspondência de ASN complementa, mas não substitui, os controles padrão de autenticação e autorização. Recomendamos que você implemente mecanismos de autenticação e autorização, como o IAM, para verificar a identidade de todas as solicitações em suas aplicações.

## Como funciona a instrução de correspondência de ASN
<a name="waf-rule-statement-type-asn-match-how-it-works"></a>

AWS WAF determina o ASN de uma solicitação com base em seu endereço IP. Por padrão, AWS WAF usa o endereço IP da origem da solicitação da web. Você pode configurar AWS WAF para usar um endereço IP de um cabeçalho de solicitação alternativo, por exemplo`X-Forwarded-For`, habilitando a configuração de IP encaminhado nas configurações da declaração de regra.

A declaração de correspondência de ASN compara o ASN da solicitação com a lista ASNs especificada na regra. Se o ASN corresponder a um na lista, a instrução será avaliada como verdadeira e a ação da regra associada será aplicada.

### Manipulação não mapeada ASNs
<a name="waf-rule-statement-type-asn-match-unmapped"></a>

Se AWS WAF não for possível determinar um ASN para um endereço IP válido, ele atribuirá o ASN 0. Você pode incluir o ASN 0 em sua regra para lidar com esses casos explicitamente.

### Comportamento de fallback para endereços IP inválidos
<a name="waf-rule-statement-type-asn-match-fallback"></a>

Ao configurar a instrução de correspondência de ASN para usar endereços IP encaminhados, você pode especificar um comportamento alternativo de *Corresponder * ou *Não corresponder* para solicitações com endereços IP inválidos ou ausentes no cabeçalho designado.

## Características das instruções de regras
<a name="waf-rule-statement-type-asn-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 1 WCU

Essa instrução usa as seguintes configurações:
+ **Lista de ASN**: uma matriz de números de ASN para comparar para uma correspondência de ASN. Os valores válidos variam de 0 a 4294967295. Você pode especificar até 100 ASNs para cada regra.
+ **(Opcional) Configuração de IP encaminhada** — Por padrão, AWS WAF usa o endereço IP na origem da solicitação da web para determinar o ASN. Como alternativa, você pode configurar a regra para usar um IP encaminhado em um cabeçalho HTTP, como `X-Forwarded-For`. . Você especifica se deseja usar o primeiro, o último ou qualquer endereço no cabeçalho. Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Para saber mais, consulte [Usar endereços IP encaminhados](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rule-statement-forwarded-ip-address.html).

## Onde encontrar essa instrução de regra
<a name="waf-rule-statement-type-asn-match-where-to-find"></a>
+ **Criador de regras** no console: em **Opção de solicitação**, escolha **Originado de ASN em**.
+ **API**: [AsnMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AsnMatchStatement.html)

## Exemplos
<a name="waf-rule-statement-type-asn-match-examples"></a>

Este exemplo bloqueia solicitações originadas de duas específicas ASNs derivadas de um `X-Forwarded-For` cabeçalho. Se o endereço IP no cabeçalho estiver malformado, o comportamento de fallback configurado será `NO_MATCH`.

```
{
  "Action": {
    "Block": {}
  },
  "Name": "AsnMatchStatementRule",
  "Priority": 1,
  "Statement": {
    "AsnMatchStatement": {
      "AsnList": [64496, 64500]
    },
    "ForwardedIPConfig": {
      "FallbackBehavior": "NO_MATCH",
      "HeaderName": "X-Forwarded-For"
    }
  },
  "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AsnMatchRuleMetrics",
    "SampledRequestsEnabled": true
  }
},
"VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "WebAclMetrics",
  "SampledRequestsEnabled": true
}
}
```

# Instrução de regra de correspondência de rótulo
<a name="waf-rule-statement-type-label-match"></a>

Esta seção explica o que é uma declaração de correspondência de rótulo e como ela funciona.

A instrução de correspondência de rótulos inspeciona os rótulos que estão na solicitação da web em relação a uma especificação de string. Os rótulos que estão disponíveis a uma regra para inspeção são os que já foram adicionados à solicitação da Web por outras regras na mesma avaliação do pacote de proteção (ACL da Web). 

Os rótulos não persistem fora da avaliação do pacote de proteção (Web ACL), mas você pode acessar as métricas do rótulo CloudWatch e ver resumos das informações do rótulo de qualquer pacote de proteção (Web ACL) no console. AWS WAF Para obter mais informações, consulte [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label) e [Monitorando e ajustando suas AWS WAF proteções](web-acl-testing-activities.md). Você também pode ver rótulos nos logs. Para mais informações, consulte [Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).

**nota**  
Uma instrução de correspondência de rótulo só pode ver os rótulos das regras que foram avaliadas anteriormente no pacote de proteção (ACL da Web). Para obter informações sobre como AWS WAF avalia as regras e os grupos de regras em um pacote de proteção (Web ACL), consulte. [Definir prioridade das regras](web-acl-processing-order.md)

Para saber mais sobre como adicionar e corresponder rótulos, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

## Características das instruções de regras
<a name="label-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 1 WCU

Essa instrução usa as seguintes configurações: 
+ **Escopo da correspondência**: defina como **Rótulo** para corresponder ao nome do rótulo e, opcionalmente, aos namespaces e prefixo anteriores. Defina isso como **Namespace** para corresponder a algumas ou todas as especificações do namespace e, opcionalmente, ao prefixo anterior. 
+ **Chave**: a string com a qual você deseja corresponder. Se você especificar um escopo de correspondência de namespace, isso deve especificar somente os namespaces e, opcionalmente, o prefixo, com dois pontos finais. Se você especificar um escopo de correspondência de rótulo, isso deverá incluir o nome do rótulo e, opcionalmente, poderá incluir namespaces e prefixos anteriores. 

Para saber mais sobre essas configurações, consulte [AWS WAF regras que correspondem aos rótulos](waf-rule-label-match.md) e [AWS WAF exemplos de correspondência de rótulos](waf-rule-label-match-examples.md).

## Onde encontrar essa instrução de regra
<a name="label-match-where-to-find"></a>
+ **Criador de regras** no console: para **Opção de solicitação**, escolha **Tem rótulo**.
+ **API**: [LabelMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_LabelMatchStatement.html)

# Instrução de regra de correspondência de regex
<a name="waf-rule-statement-type-regex-match"></a>

Esta seção explica o que é uma instrução de correspondência regex e como ela funciona.

Uma instrução de correspondência regex instrui AWS WAF a correspondência de um componente de solicitação com uma única expressão regular (regex). Uma solicitação da web corresponderá à instrução se o componente de solicitação corresponder à regex especificada. 

Esse tipo de instrução é uma boa alternativa a [Instrução de regra de correspondência do conjunto de padrões de regex](waf-rule-statement-type-regex-pattern-set-match.md) para situações em que você deseja combinar seus critérios de correspondência usando lógica matemática. Por exemplo, se você quiser que um componente de solicitação corresponda a alguns padrões de regex e não corresponda a outros, você pode combinar as instruções de correspondência de regex usando o [Instrução de regra do AND](waf-rule-statement-type-and.md) e o [Instrução de regra do NOT](waf-rule-statement-type-not.md). 

AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

## Características das instruções de regras
<a name="regex-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 3 WCUs, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** que você aplicar, adicione 10 WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.
**Atenção**  
Se você inspecionar os componentes da solicitação **Body**, **JSON body**, **Headers** ou **Cookies**, leia sobre as limitações de quanto conteúdo AWS WAF pode ser inspecionado. [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md) 

  Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

## Onde encontrar essa instrução de regra
<a name="regex-match-where-to-find"></a>
+ **Criador de regras** no console: para **Tipo de correspondência**, escolha **Corresponde à expressão regular**.
+ **API**: [RegexMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexMatchStatement.html)

# Instrução de regra de correspondência do conjunto de padrões de regex
<a name="waf-rule-statement-type-regex-pattern-set-match"></a>

Esta seção explica o que é uma instrução de correspondência de conjunto de padrões regex e como ela funciona.

A correspondência de conjunto de padrões regex inspeciona a parte da solicitação da web especificada para os padrões de expressão regular especificados dentro de um conjunto de padrões regex.

AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

**nota**  
Cada regra de correspondência de conjunto de padrões de regex faz referência a um conjunto de padrões de regex, que você cria e mantém independente de suas regras. Você pode usar um único padrão de regex definido em várias regras e, ao atualizar o conjunto referenciado, atualiza AWS WAF automaticamente todas as regras que fazem referência a ele.   
Para obter informações sobre como criar e gerenciar um conjunto de padrões de regex, consulte [Criando e gerenciando um padrão de regex definido em AWS WAF](waf-regex-pattern-set-managing.md).

Uma instrução regex pattern set match instrui AWS WAF a pesquisar qualquer um dos padrões no conjunto dentro do componente de solicitação que você escolher. Uma solicitação da Web corresponderá à instrução de regra de conjunto de padrões se o componente de solicitação corresponder a qualquer um dos padrões no conjunto. 

Se você quiser combinar suas correspondências de padrões de regex usando lógica, por exemplo, para comparar com algumas expressões regulares e não com outras, considere usar [Instrução de regra de correspondência de regex](waf-rule-statement-type-regex-match.md). 

## Características das instruções de regras
<a name="regex-pattern-set-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 25 WCUs, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** que você aplicar, adicione 10 WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.
**Atenção**  
Se você inspecionar os componentes da solicitação **Body**, **JSON body**, **Headers** ou **Cookies**, leia sobre as limitações de quanto conteúdo AWS WAF pode ser inspecionado. [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md) 

  Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

Esta instrução requer as seguintes configurações: 
+ Especificação do conjunto de padrões de regex: Escolha o conjunto de padrões de regex que deseja usar na lista ou crie um novo. 

## Onde encontrar essa instrução de regra
<a name="regex-pattern-set-match-where-to-find"></a>
+ **Criador de regras** no console: Para **Tipo de correspondência**, escolha **Condição de correspondência de string** > **Corresponde ao padrão do conjunto de expressões regulares**.
+ **API**: [RegexPatternSetReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RegexPatternSetReferenceStatement.html)

# Instrução de regra de restrição de tamanho
<a name="waf-rule-statement-type-size-constraint-match"></a>

Esta seção explica o que é uma instrução de restrição de tamanho e como ela funciona.

Uma declaração de restrição de tamanho compara o número de bytes AWS WAF recebidos por um componente de solicitação da web com um número fornecido por você e corresponde de acordo com seus critérios de comparação. 

O critério de comparação é um operador, como maior que (>) ou menor que (<). Por exemplo, você pode fazer a correspondência em solicitações que tenham uma string de consulta com um tamanho maior que 100 bytes. 

Se você inspecionar o caminho do URI, qualquer `/` no caminho conta como um caractere. Por exemplo, o caminho do URI `/logo.jpg` tem nove caracteres de comprimento.

**nota**  
Essa instrução inspeciona somente o tamanho do componente de solicitação da web. Ela não inspeciona o conteúdo do componente. 

## Características das instruções de regras
<a name="size-constraint-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 1 WCU, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo. Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).

  Uma instrução de restrição de tamanho inspeciona somente o tamanho do componente após a aplicação de qualquer transformação. Ela não inspeciona o conteúdo do componente. 
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecionar seu tamanho. Por exemplo, você pode compactar espaços em branco ou decodificar entidades HTML. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

Além disso, essa instrução requer as seguintes configurações: 
+ **Condição de correspondência de tamanho**: indica o operador de comparação numérica a ser usado para comparar o tamanho fornecido com o componente de solicitação escolhido. Escolha o operador na lista.
+ **Tamanho**: A configuração de tamanho, em bytes, a ser usada na comparação. 

## Onde encontrar essa instrução de regra
<a name="size-constraint-match-where-to-find"></a>
+ **Criador de regras** no console: para **Tipo de correspondência**, em **Condição de correspondência de tamanho**, escolha a condição que você deseja usar.
+ **API**: [SizeConstraintStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SizeConstraintStatement.html)

# Instrução de regra de ataque de injeção de SQL
<a name="waf-rule-statement-type-sqli-match"></a>

Esta seção explica o que é uma instrução de regra de injeção de SQL e como ela funciona.

Uma instrução de regra de injeção de SQL que inspeciona códigos SQL mal-intencionados. Invasores às vezes inserem código SQL mal-intencionado em solicitações da Web na tentativa de realizar ações como modificar seu banco de dados ou extrair dados dele.

## Características das instruções de regras
<a name="sqli-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— O custo base depende da configuração do nível de sensibilidade para a declaração de regra: Low custa 20 e High custa 30. 

Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** que você aplicar, adicione 10 WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.
**Atenção**  
Se você inspecionar os componentes da solicitação **Body**, **JSON body**, **Headers** ou **Cookies**, leia sobre as limitações de quanto conteúdo AWS WAF pode ser inspecionado. [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md) 

  Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

Além disso, essa instrução requer as seguintes configurações: 
+ **Nível de sensibilidade**: essa configuração ajusta a sensibilidade dos critérios de correspondência de injeção de SQL. As opções são LOW e HIGH. A configuração padrão é LOW. 

  A configuração HIGH detecta mais ataques de injeção de SQL e é a configuração recomendada. Devido à maior sensibilidade, essa configuração gera mais falsos positivos, especialmente se as solicitações da web contiverem normalmente strings pouco comuns. Durante os testes e ajustes do pacote de proteção (ACL da Web), talvez você tenha mais trabalho para mitigar os falsos positivos. Para mais informações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md). 

  A configuração mais baixa fornece uma detecção de injeção de SQL menos rigorosa, o que também resulta em menos falsos positivos. LOW pode ser uma opção melhor para recursos com outras proteções contra ataques de injeção de SQL ou com baixa tolerância a falsos positivos. 

## Onde encontrar essa instrução de regra
<a name="sqli-match-where-to-find"></a>
+ **Construtor de regras** no console: Para **Tipo de correspondência**, escolha **Condições de correspondência de ataque** > **Contém ataques de injeção de SQL**.
+ **API**: [SqliMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_SqliMatchStatement.html)

# Instrução de regra de correspondência de string
<a name="waf-rule-statement-type-string-match"></a>

Esta seção explica o que é uma instrução de correspondência de string e como ela funciona.

Uma declaração de correspondência de string indica AWS WAF a string que você deseja pesquisar em uma solicitação, onde e como pesquisar na solicitação. Por exemplo, você pode procurar uma string específica no início de qualquer string de consulta na solicitação ou como uma correspondência exata para o cabeçalho `User-agent` da solicitação. Geralmente, a string consiste em caracteres ASCII imprimíveis, mas você pode usar qualquer caractere, do hexadecimal 0x00 a 0xFF (decimal 0 a 255). 

## Características das instruções de regras
<a name="string-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— O custo base depende do tipo de partida que você usa.
+ **Corresponde exatamente à string**: 2 
+ **Começa com a string**: 2 
+ **Termina com a string**: 2 
+ **Contém a string**: 10 
+ **Contém a palavra**: 10 

Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** aplicada, adicione 10 WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.
**Atenção**  
Se você inspecionar os componentes da solicitação **Body**, **JSON body**, **Headers** ou **Cookies**, leia sobre as limitações de quanto conteúdo AWS WAF pode ser inspecionado. [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md) 

  Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

Além disso, essa instrução requer as seguintes configurações: 
+ **String to match** — Essa é a string que você AWS WAF deseja comparar com o componente de solicitação especificado. Geralmente, a string consiste em caracteres ASCII imprimíveis, mas você pode usar qualquer caractere, do hexadecimal 0x00 a 0xFF (decimal 0 a 255).
+ **Condição de correspondência de string** — Isso indica o tipo de pesquisa que você AWS WAF deseja realizar. 
  + **Corresponde exatamente à string**: a string única e o valor do componente de solicitação são idênticos.
  + **Começa com a strin**: a string aparece no início do componente de solicitação. 
  + **Termina com a string**: a string aparece no final do componente de solicitação. 
  + **Contém string**: a string aparece em qualquer lugar no componente de solicitação. 
  + **Contém a palavra**: a string especificada deve aparecer no componente de solicitação. 

    Para esta opção, a string especificada deve conter apenas caracteres alfanuméricos ou sublinhado (A-Z, a-z, 0-9 ou \$1). 

    Uma das seguintes opções deve ser verdadeira para que a solicitação corresponda: 
    + A string corresponde exatamente ao valor do componente de solicitação, como o valor de um cabeçalho.
    + A string está no início do componente de solicitação e é seguida por um caractere diferente de um caractere alfanumérico ou sublinhado (\$1), por exemplo, `BadBot;`.
    + A string está no fim do componente de solicitação e é precedida por um caractere diferente de um caractere alfanumérico ou sublinhado (\$1), por exemplo, `;BadBot`.
    + A string está no meio do componente de solicitação e é precedida e seguida por caracteres diferentes de caracteres alfanuméricos ou sublinhados (\$1), por exemplo, `-BadBot;`.

## Onde encontrar essa instrução de regra
<a name="string-match-where-to-find"></a>
+ **Criador de regras** no console: para **Tipo de correspondência**, escolha **Condição de correspondência de string** e preencha as strings com as quais você deseja corresponder.
+ **API**: [ByteMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ByteMatchStatement.html)

# Instrução de regra de ataque de script entre sites
<a name="waf-rule-statement-type-xss-match"></a>

Esta seção explica o que é uma instrução de ataque XSS (cross-site scripting) e como ela funciona.

Uma instrução de ataque XSS inspeciona scripts maliciosos em um componente de solicitação da Web. Em ataques XSS, o invasor usa vulnerabilidades em um site benigno como veículo para injetar scripts mal-intencionados no lado do cliente em outros navegadores legítimos. 

## Características das instruções de regras
<a name="xss-match-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— 40 WCUs, como custo base. Se você usar o componente de solicitação **Todos os parâmetros de consulta**, adicione 10 WCUs. Se você usar o **corpo JSON** do componente de solicitação, dobre o custo WCUs base. Para cada **transformação de texto** que você aplicar, adicione 10 WCUs.

Esse tipo de instrução opera em um componente de solicitação da web e requer as seguintes configurações do componente de solicitação: 
+ **Componente de solicitação**: a parte da solicitação da web para inspecionar, por exemplo, uma string de consulta ou o corpo.
**Atenção**  
Se você inspecionar os componentes da solicitação **Body**, **JSON body**, **Headers** ou **Cookies**, leia sobre as limitações de quanto conteúdo AWS WAF pode ser inspecionado. [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md) 

  Para informações sobre componentes de solicitação da web, consulte [Ajustando as configurações da declaração de regra em AWS WAF](waf-rule-statement-fields.md).
+ **Transformações de texto opcionais** — Transformações que você deseja AWS WAF realizar no componente de solicitação antes de inspecioná-lo. Por exemplo, você pode transformar para minúsculas ou normalizar o espaço em branco. Se você especificar mais de uma transformação, as AWS WAF processará na ordem listada. Para mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).

## Onde encontrar essa instrução de regra
<a name="xss-match-where-to-find"></a>
+ **Construtor de regras** no console: para **Tipo de correspondência**, escolha **Condições de correspondência de ataque** > **Contém ataques de injeção de XSS**.
+ **API**: [XssMatchStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_XssMatchStatement.html)

# Usando declarações de regras lógicas em AWS WAF
<a name="waf-rule-statements-logical"></a>

Esta seção explica o que é uma instrução de regra lógica e como ela funciona.

Usa instruções de regras lógicas para combinar outras instruções ou negar os resultados delas. Cada instrução de regra lógica leva pelo menos uma instrução aninhada.

Para combinar ou negar logicamente os resultados de instruções de regra, aninhe-as em instruções de regra lógicas. 

As instruções de regras lógicas são aninháveis. Você pode aninhá-las em outras instruções de regras lógicas e usá-las em instruções de redução de escopo. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

**nota**  
O editor visual no console suporta um nível de aninhamento de instrução de regra, que funciona para muitas necessidades. Para agrupar mais níveis, edite a representação JSON da regra no console ou use o. APIs 

Esta tabela descreve as instruções de regras lógicas e fornece diretrizes para calcular o uso de unidades de capacidade do pacote de proteção (ACL da Web) (WCU) para cada uma delas. Para obter informações sobre WCUs, consulte[Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md). 


| Instrução lógica  | Description | WCUs | 
| --- | --- | --- | 
| [Lógica do AND](waf-rule-statement-type-and.md) | Combina instruções aninhadas com a lógica AND. | Com base em instruções aninhadas | 
|  [Lógica do NOT](waf-rule-statement-type-not.md)  |  Nega os resultados de uma instrução aninhada.  |  Com base na instrução aninhada  | 
| [Lógica do OR](waf-rule-statement-type-or.md) | Combina instruções aninhadas com a lógica OR. | Com base em instruções aninhadas | 

# Instrução de regra do AND
<a name="waf-rule-statement-type-and"></a>

A instrução de regra AND combina instruções aninhadas com uma operação AND lógica, portanto, todas as instruções aninhadas devem corresponder à instrução AND para corresponder. Isso requer pelo menos duas instruções aninhadas. 

## Características das instruções de regras
<a name="and-rule-statement-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— Depende das declarações aninhadas.

## Onde encontrar essa instrução de regra
<a name="and-rule-statement-where-to-find"></a>
+ **Criador de regras** no console: para **Se uma solicitação**, escolha **corresponder a todas as instruções (AND)** e preencha as instruções aninhadas. 
+ **API**: [AndStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_AndStatement.html)

## Exemplos
<a name="and-rule-statement-examples"></a>

A lista a seguir mostra o uso de AND e instruções de regras lógicas NOT para eliminar falsos positivos das correspondências de uma instrução de ataque de injeção de SQL. Neste exemplo, suponha que possamos escrever uma instrução de correspondência de byte único para corresponder às solicitações que estão resultando em falsos positivos. 

A instrução AND corresponde às solicitações que não correspondem à instrução de correspondência de byte e que correspondem à instrução de ataque de injeção de SQL. 

```
{
      "Name": "SQLiExcludeFalsePositives",
      "Priority": 0,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "SearchString": "string identifying a false positive",
                    "FieldToMatch": {
                      "Body": {
                        "OversizeHandling": "MATCH"
                      }
                    },
                    "TextTransformations": [
                      {
                        "Priority": 0,
                        "Type": "NONE"
                      }
                    ],
                    "PositionalConstraint": "CONTAINS"
                  }
                }
              }
            },
            {
              "SqliMatchStatement": {
                "FieldToMatch": {
                  "Body": {
                    "OversizeHandling": "MATCH"
                  }
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "SQLiExcludeFalsePositives"
      }
    }
```

Usando o editor visual de regras do console, você pode aninhar uma instrução não lógica ou uma instrução NOT sob uma instrução OR ou AND. O aninhamento da instrução NOT é mostrado no exemplo anterior. 

Usando o editor visual de regras do console, você pode agrupar a maioria das instruções aninháveis em uma instrução de regra lógica, como a mostrada no exemplo anterior. Você não pode usar o editor visual para aninhar instruções OR ou AND. Para configurar esse tipo de aninhamento, você precisa fornecer sua instrução de regra em JSON. Por exemplo, a lista de regras JSON a seguir inclui uma instrução OR aninhada dentro de uma instrução AND. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Instrução de regra do NOT
<a name="waf-rule-statement-type-not"></a>

A instrução de regra NOT nega logicamente os resultados de uma única instrução aninhada, portanto, as instruções aninhadas não devem corresponder em relação à instrução NOT a corresponder e vice-versa. Isso requer uma instrução aninhada. 

Por exemplo, se você deseja bloquear solicitações que não são originadas em um país específico, crie uma instrução NOT com ação definida para bloquear e aninhe uma instrução de correspondência geográfica que especifique o país. 

## Características das instruções de regras
<a name="not-rule-statement-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— Depende da declaração aninhada.

## Onde encontrar essa instrução de regra
<a name="not-rule-statement-where-to-find"></a>
+ **Criador de regras** no console: para **Se uma solicitação**, escolha **não corresponde à instrução (NOT)** e, em seguida, preencha a instrução aninhada.
+ **API**: [NotStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_NotStatement.html)

# Instrução de regra do OR
<a name="waf-rule-statement-type-or"></a>

A instrução de regra OR combina instruções aninhadas com a lógica OR, portanto, uma das instruções aninhadas deve corresponder para que a instrução OR corresponda. Isso requer pelo menos duas instruções aninhadas. 

Por exemplo, se você deseja bloquear solicitações que vêm de um país específico ou que contêm uma string de consulta específica, você pode criar uma instrução OR e aninhar nela uma instrução de correspondência geográfica para o país e uma instrução de correspondência de string para a string de consulta. 

Se, em vez disso, você deseja bloquear solicitações que *não* vêm de um país específico ou que contêm uma string de consulta específica, você modificaria a instrução OR anterior para aninhar a instrução de correspondência geográfica um nível inferior, dentro de uma instrução NOT. Esse nível de aninhamento requer que você use a formatação JSON, pois o console suporta apenas um nível de aninhamento.

## Características das instruções de regras
<a name="or-rule-statement-characteristics"></a>

**Aninhável**: você pode aninhar esse tipo de instrução. 

**WCUs**— Depende das declarações aninhadas.

## Onde encontrar essa instrução de regra
<a name="or-rule-statement-where-to-find"></a>
+ **Criador de regras** no console: para **Se uma solicitação**, escolha **corresponder a pelo menos uma das instruções (OR)**, e preencha as instruções aninhadas. 
+ **API**: [OrStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_OrStatement.html)

**Exemplos**  
A lista a seguir mostra o uso de OR para combinar duas outras instruções. A instrução OR é compatível se alguma das instruções aninhadas corresponder. 

```
{
  "Name": "neitherOfTwo",
  "Priority": 1,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "neitherOfTwo"
  },
  "Statement": {
    "OrStatement": {
      "Statements": [
        {
          "GeoMatchStatement": {
            "CountryCodes": [
              "CA"
            ]
          }
        },
        {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/ipset/test-ip-set-22222222/33333333-4444-5555-6666-777777777777"
          }
        }
      ]
    }
  }
}
```

Usando o editor visual de regras do console, você pode agrupar a maioria das instruções aninháveis em uma instrução de regra lógica, mas não pode usar o editor visual para aninhar instruções OR ou AND. Para configurar esse tipo de aninhamento, você precisa fornecer sua instrução de regra em JSON. Por exemplo, a lista de regras JSON a seguir inclui uma instrução OR aninhada dentro de uma instrução AND. 

```
{
  "Name": "match_rule",
  "Priority": 0,
  "Statement": {
    "AndStatement": {
      "Statements": [
        {
          "LabelMatchStatement": {
            "Scope": "LABEL",
            "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
          }
        },
        {
          "NotStatement": {
            "Statement": {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
              }
            }
          }
        },
        {
          "OrStatement": {
            "Statements": [
              {
                "GeoMatchStatement": {
                  "CountryCodes": [
                    "JM",
                    "JP"
                  ]
                }
              },
              {
                "ByteMatchStatement": {
                  "SearchString": "JCountryString",
                  "FieldToMatch": {
                    "Body": {}
                  },
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ],
                  "PositionalConstraint": "CONTAINS"
                }
              }
            ]
          }
        }
      ]
    }
  },
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "match_rule"
  }
}
```

# Usando declarações de regras baseadas em taxas em AWS WAF
<a name="waf-rule-statement-type-rate-based"></a>

Esta seção explica o que é uma instrução de regra baseada em intervalos e como ela funciona.

Uma regra baseada em intervalos conta as solicitações recebidas e limita as solicitações quando elas chegam a um intervalo muito rápido. A regra agrega solicitações de acordo com seus critérios e conta e classifica os agrupamentos agregados, com base nas configurações da janela de avaliação da regra, limite de solicitação e configurações de ação. 

**nota**  
Você também pode limitar a taxa de solicitações da web usando o nível de proteção direcionado do grupo de regras de regras AWS gerenciadas do Bot Control. Como usar esse grupo de regras gerenciadas gera taxas adicionais. Para obter mais informações, consulte [Opções para limitação de intervalo em regras baseadas em intervalos e regras direcionadas do Controle de Bots](waf-rate-limiting-options.md). 

AWS WAF rastreia e gerencia solicitações da web separadamente para cada instância de uma regra baseada em taxas que você usa. Por exemplo, se você fornecer as mesmas configurações de regra com base em taxas em dois sitesACLs, cada uma das duas declarações de regra representará uma instância separada da regra baseada em taxas e cada uma receberá seu próprio controle e gerenciamento por meio de. AWS WAF Se você definir uma regra baseada em taxas dentro de um grupo de regras e depois usar esse grupo de regras em vários lugares, cada uso cria uma instância separada da regra baseada em taxas que recebe seu próprio controle e gerenciamento. AWS WAF

**Não aninháve**: você não pode aninhar esse tipo de instrução dentro de outras instruções. Você pode incluí-la diretamente em um pacote de proteção (ACL da Web) ou em um grupo de regras. 

**Instrução de redução de escopo**: esse tipo de regra pode usar uma instrução de redução de escopo para restringir o escopo das solicitações que o grupo de regras avalia. A instrução de redução de escopo pode ser opcional ou obrigatória, dependendo das outras configurações da regra. Os detalhes são abordados nesta seção. Para informações gerais sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md). 

**WCUs**— 2, como custo base. Para cada chave de agregação personalizada que você especificar, adicione 30 WCUs. Se você usar uma declaração de escopo reduzido na regra, calcule e adicione o WCUs para isso.

**Onde encontrar essa instrução de regra**
+ **Criador de regras** no pacote de proteção (ACL da Web), no console: em **Regra**, para **Tipo**, escolha **Regra baseada em taxas**.
+ **API**: [RateBasedStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RateBasedStatement.html)

**Topics**
+ [

# Configurações de alto nível de regras baseadas em taxas em AWS WAF
](waf-rule-statement-type-rate-based-high-level-settings.md)
+ [

# Advertências de regras baseadas em taxas em AWS WAF
](waf-rule-statement-type-rate-based-caveats.md)
+ [

# Agregando regras baseadas em taxas em AWS WAF
](waf-rule-statement-type-rate-based-aggregation-options.md)
+ [

# Instâncias e contagens de regras baseadas em intervalos
](waf-rule-statement-type-rate-based-aggregation-instances.md)
+ [

# Aplicando limitação de taxa às solicitações em AWS WAF
](waf-rule-statement-type-rate-based-request-limiting.md)
+ [

# Exemplos de regras baseadas em taxas em AWS WAF
](waf-rule-statement-type-rate-based-examples.md)
+ [

# Como listar endereços IP que estão sendo limitados por regras baseadas em intervalos
](listing-managed-ips.md)

# Configurações de alto nível de regras baseadas em taxas em AWS WAF
<a name="waf-rule-statement-type-rate-based-high-level-settings"></a>

Uma instrução de regra baseada em intervalos usa as seguintes configurações de alto nível: 
+ **Janela de avaliação**: a quantidade de tempo, em segundos, que o AWS WAF deve incluir em suas contagens de solicitações, considerando a hora atual. Por exemplo, para uma configuração de 120, quando AWS WAF verifica a taxa, ela conta as solicitações dos 2 minutos imediatamente anteriores à hora atual. As configurações válidas são 60 (1 minuto), 120 (2 minutos), 300 (5 minutos) e 600 (10 minutos), e 300 (5 minutos) é o padrão. 

  Essa configuração não determina a frequência com que o AWS WAF verifica o intervalo, mas quanto ele volta cada vez que uma verificação é feita. O AWS WAF verifica o intervalo com frequência, com um tempo independente da configuração da janela de avaliação. 
+ **Limite de taxa** — O número máximo de solicitações que correspondem aos seus critérios e que AWS WAF devem ser monitoradas apenas para a janela de avaliação especificada. A configuração de limite mais baixa permitida é 10. Quando esse limite é violado, AWS WAF aplica a configuração de ação de regra a solicitações adicionais que correspondam aos seus critérios. 

  AWS WAF aplica uma limitação de taxa próxima ao limite que você definiu, mas não garante uma correspondência exata do limite. Para obter mais informações, consulte [Advertências de regras baseadas em intervalos](waf-rule-statement-type-rate-based-caveats.md). 
+ **Agregação de solicitações**: os critérios de agregação a serem usados nas solicitações da web que a regra baseada em intervalos conta e limita o intervalo. O limite de taxa definido se aplica a cada instância de agregação. Para obter mais detalhes, consulte [Como agregar regras baseadas em intervalos](waf-rule-statement-type-rate-based-aggregation-options.md) e [Instâncias e contagens de agregação](waf-rule-statement-type-rate-based-aggregation-instances.md). 
+ **Ação**: a ação a ser tomada em relação às solicitações que o intervalo da regra limita. Você pode usar qualquer ação de regra, exceto Allow. Isso é definido no nível da regra, como de costume, mas tem algumas restrições e comportamentos específicos das regras baseadas em intervalos. Para obter informações gerais sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). Para obter informações específicas sobre limitação de intervalo, consulte [Aplicando limitação de taxa às solicitações em AWS WAF](waf-rule-statement-type-rate-based-request-limiting.md) nesta seção.
+ **Escopo de inspeção e limitação de intervalo**: você pode restringir o escopo das solicitações que a instrução baseada em intervalos acompanha e os limites de intervalo adicionando uma instrução de redução de escopo. Se você especificar uma instrução de redução de escopo, a regra somente agregará, contará e limitará o intervalo das solicitações que correspondam à instrução de redução de escopo. Se você escolher a opção de agregação de solicitações **Contar tudo**, a instrução de redução de escopo será necessária. Para saber mais sobre instruções de redução do escopo, consulte [Como usar instruções de escopo reduzido](waf-rule-scope-down-statements.md). 
+ **(Opcional) Configuração de IP encaminhado**: isso só é usado se você especificar o **Endereço IP no cabeçalho** da sua agregação de solicitações, isoladamente ou como parte das configurações de chaves personalizadas. O AWS WAF recupera o primeiro endereço IP no cabeçalho especificado e o usa como valor de agregação. Um cabeçalho comum para essa finalidade é `X-Forwarded-For`, mas você pode especificar qualquer cabeçalho. Para saber mais, consulte [Como usar endereços IP encaminhados](waf-rule-statement-forwarded-ip-address.md). 

# Advertências de regras baseadas em taxas em AWS WAF
<a name="waf-rule-statement-type-rate-based-caveats"></a>

Esta seção lista as advertências para o uso de regras baseadas em intervalos.

AWS WAF a limitação de taxa foi projetada para controlar as altas taxas de solicitação e proteger a disponibilidade do seu aplicativo da maneira mais eficiente e eficaz possível. Não se destina a limitar com precisão o intervalo de solicitações. 
+ AWS WAF estima a taxa de solicitações atual usando um algoritmo que dá mais importância às solicitações mais recentes. Por esse motivo, AWS WAF aplicará uma limitação de taxa próxima ao limite que você definiu, mas não garante uma correspondência exata do limite. 
+ Cada vez que AWS WAF estima a taxa de solicitações, AWS WAF analisa o número de solicitações recebidas durante a janela de avaliação configurada. Devido a esse e a outros fatores, como atrasos na propagação, é possível que as solicitações cheguem com uma taxa muito alta por vários minutos antes de serem AWS WAF detectadas e limitadas pela taxa. Da mesma forma, o intervalo de solicitações pode ficar abaixo do limite por um período de tempo antes de o AWS WAF detectar a diminuição e interromper a ação de limitação de intervalo. Normalmente, esse atraso é inferior a 30 segundos.
+ Se você alterar qualquer uma das configurações de limite de intervalo em uma regra que está em uso, a alteração redefinirá as contagens de limite de intervalo da regra. Isso pode pausar as atividades de limitação de intervalo da regra por até um minuto. As configurações de limite de intervalo são a janela de avaliação, o limite de intervalo, as configurações de agregação de solicitações, a configuração de IP encaminhado e o escopo da inspeção. 

# Agregando regras baseadas em taxas em AWS WAF
<a name="waf-rule-statement-type-rate-based-aggregation-options"></a>

Esta seção explica suas opções para agregar solicitações.

Por padrão, uma regra baseada em intervalo agrega e limita o intervalo das solicitações com base no endereço IP da solicitação. Você pode configurar a regra para usar várias outras chaves de agregação e combinações de teclas. Por exemplo, você pode agregar com base em um endereço IP encaminhado, no método HTTP ou em um argumento de consulta. Você também pode especificar combinações de chaves de agregação, como endereço IP e método HTTP, ou os valores de dois cookies diferentes. 

**nota**  
Todos os componentes da solicitação que você especifica na chave de agregação devem estar presentes em uma solicitação da web para que a solicitação seja avaliada ou o intervalo seja limitado pela regra. 

Você pode configurar sua regra baseada em intervalos com as seguintes opções de agregação. 
+ **Endereço IP de origem**: agregar usando apenas o endereço IP da origem da solicitação da web. 

  O endereço IP de origem pode não conter o endereço do cliente de origem. Se uma solicitação da web passar por um ou mais proxies ou balanceadores de carga, ela conterá o endereço do último proxy. 
+ **Endereço IP no cabeçalho**: agregar usando apenas um endereço de cliente em um cabeçalho HTTP. Isso também é conhecido como endereço IP encaminhado. 

  Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da web com um endereço IP incorreto no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Sem correspondência, a regra baseada em intervalos não conta nem limita o intervalo da solicitação. Para corresponder, a regra baseada em intervalos agrupa a solicitação junto com outras solicitações que têm um endereço IP incorreto no cabeçalho especificado. 

  Tenha cuidado com essa opção, pois os cabeçalhos podem ser tratados de forma inconsistente por proxies e também podem ser modificados para ignorar a inspeção. Para obter informações adicionais e práticas recomendadas, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ **ASN**: agregue usando um número de sistema autônomo (ASN) associado ao endereço IP de origem como uma chave agregada. Esse pode não ser o endereço do cliente de origem. Se uma solicitação da Web passar por um ou mais proxies ou balanceadores de carga, ela conterá o endereço do último proxy. 

  Se não for AWS WAF possível derivar um ASN do endereço IP, ele contará o ASN como ASN 0. Se você não quiser aplicar a limitação de taxa aos não mapeados ASNs, você pode criar uma regra de redução de escopo que exclua solicitações com ASN 0.
+ **ASN no cabeçalho**: agregue usando um endereço IP associado a um cliente em um cabeçalho HTTP. Isso também é conhecido como endereço IP encaminhado. Com essa configuração, você também especifica um comportamento de fallback a ser aplicado a uma solicitação da Web com um endereço IP mal formado no cabeçalho. O comportamento de fallback define o resultado correspondente da solicitação como correspondente ou não correspondente. Se você definir o comportamento de fallback como correspondente na configuração de IP encaminhado, AWS WAF tratará o endereço IP inválido como um valor correspondente. Isso permite AWS WAF continuar avaliando todas as partes restantes da chave composta da regra baseada em taxas. Sem correspondência, a regra baseada em intervalos não conta nem limita o intervalo da solicitação. 

  Tenha cuidado com essa opção, pois os cabeçalhos podem ser tratados de forma inconsistente por proxies e podem ser modificados para ignorar a inspeção. Para obter informações adicionais e práticas recomendadas, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md).
+ **Contar tudo**: contar e limitar o intervalo de todas as solicitações que correspondam à instrução de redução de escopo da regra. Essa opção requer uma instrução de redução de escopo. Isso geralmente é usado para limitar o intervalo de um conjunto específico de solicitações, como todas as solicitações com um rótulo específico ou todas as solicitações de uma área geográfica específica. 
+ **Chaves personalizadas**: agregar usando uma ou mais chaves de agregação personalizadas. Para combinar qualquer uma das opções de endereço IP com outras chaves de agregação, defina-as aqui em chaves personalizadas. 

  As chaves de agregação personalizadas são um subconjunto das opções do componente de solicitação da web descritas em [Solicitar componentes em AWS WAF](waf-rule-statement-fields-list.md).

  As principais opções são as seguintes. Exceto onde indicado, você pode usar uma opção várias vezes, por exemplo, dois cabeçalhos ou três namespaces de rótulo.
  + **Namespace de rótulo**: usar um namespace de rótulo como chave de agregação. Cada nome de rótulo distinto totalmente qualificado que tem o namespace de rótulo especificado contribui para a instância de agregação. Se você usar apenas um namespace de rótulo como chave personalizada, cada nome de rótulo definirá totalmente uma instância de agregação.

    A regra baseada em taxas usa somente rótulos que foram adicionados à solicitação por regras que são avaliadas previamente no pacote de proteção (ACL da Web).

    Para obter mais informações sobre namespaces, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).
  + **Cabeçalho**: usar um cabeçalho nomeado como chave de agregação. Cada valor distinto no cabeçalho contribui para a instância de agregação. 

    O cabeçalho usa uma transformação de texto opcional. Consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md). 
  + **Cookie**: usar um cookie nomeado como chave de agregação. Cada valor distinto no cookie contribui para a instância de agregação. 

    O cookie faz uma transformação de texto opcional. Consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md). 
  + **Argumento de consulta**: usar um único argumento de consulta na solicitação como uma chave agregada. Cada valor distinto para o argumento de consulta nomeado contribui para a instância de agregação. 

    O argumento de consulta usa uma transformação de texto opcional. Consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md). 
  + **String de consulta**: use toda a string de consulta na solicitação como uma chave agregada. Cada string de consulta distinta contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez. 

    A string de consulta usa uma transformação de texto opcional. Consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md). 
  + **Caminho do URI**: usar o caminho do URI na solicitação como uma chave agregada. Cada caminho de URI distinto contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez. 

    O caminho do URI usa uma transformação de texto opcional. Consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md). 
  + **JA3 impressão digital** — Use a JA3 impressão digital na solicitação como uma chave agregada. Cada JA3 impressão digital distinta contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez. 
  + **JA4 impressão digital** — Use a JA4 impressão digital na solicitação como uma chave agregada. Cada JA4 impressão digital distinta contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez. 
  + **Método HTTP**: usar o método HTTP da solicitação como uma chave agregada. Cada método HTTP distinto contribui para a instância de agregação. Você pode usar esse tipo de chave uma vez. 
  + **Endereço IP**: agregar usando o endereço IP da origem da solicitação da web em combinação com outras chaves.

    Pode não conter o endereço do cliente de origem. Se uma solicitação da web passar por um ou mais proxies ou balanceadores de carga, ela conterá o endereço do último proxy. 
  + **Endereço IP no cabeçalho**: agregar usando o endereço do cliente em um cabeçalho HTTP em combinação com outras chaves. Isso também é conhecido como endereço IP encaminhado. 

    Tenha cuidado com essa opção, pois os cabeçalhos podem ser tratados de forma inconsistente por proxies e podem ser modificados para ignorar a inspeção. Para obter informações adicionais e práticas recomendadas, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md).

# Instâncias e contagens de regras baseadas em intervalos
<a name="waf-rule-statement-type-rate-based-aggregation-instances"></a>

Esta seção explica como uma regra baseada em intervalos avalia as solicitações da Web.

Quando uma regra baseada em intervalos avalia solicitações da web usando seus critérios de agregação, cada conjunto exclusivo de valores que a regra encontra para as chaves de agregação especificadas define uma *instância de agregação* exclusiva. 
+ **Várias chaves**: se você definiu várias chaves personalizadas, o valor de cada chave contribuirá para a definição da instância de agregação. Cada combinação exclusiva de valores define uma instância de agregação. 
+ **Chave única**: se você escolheu uma chave única, seja nas chaves personalizadas ou selecionando uma das opções de endereço IP único, cada valor exclusivo da chave define uma instância de agregação. 
+ **Contar tudo: sem chaves**: se você selecionou a opção de agregação **Contar tudo**, todas as solicitações avaliadas pela regra pertencerão a uma única instância de agregação da regra. Essa escolha requer uma instrução de redução de escopo.

 

Uma regra baseada em intervalos conta solicitações da web separadamente para cada instância de agregação que identifica. 

Por exemplo, suponha que uma regra baseada em intervalos avalie solicitações da web com os seguintes valores de endereço IP e método HTTP: 
+ Endereço IP 10.1.1.1, método HTTP POST
+ Endereço IP 10.1.1.1, método HTTP GET
+ Endereço IP 127.0.0.0, método HTTP POST
+ Endereço IP 10.1.1.1, método HTTP GET

A regra cria diferentes instâncias de agregação de acordo com seus critérios de agregação. 
+ Se o critério de agregação for apenas o endereço IP, cada endereço IP individual será uma instância de agregação e AWS WAF contará as solicitações separadamente para cada um. As instâncias de agregação e as contagens de solicitações do nosso exemplo seriam as seguintes: 
  + Endereço IP 10.1.1.1: contagem 3
  + Endereço IP 127.0.0.0: contagem 1
+ Se o critério de agregação for o método HTTP, cada método HTTP individual será uma instância de agregação. As instâncias de agregação e as contagens de solicitações do nosso exemplo seriam as seguintes: 
  + Método HTTP POST: contagem 2
  + Método HTTP GET: contagem 2
+ Se os critérios de agregação forem endereço IP e método HTTP, cada endereço IP e cada método HTTP contribuirão para a instância de agregação combinada. As instâncias de agregação e as contagens de solicitações do nosso exemplo seriam as seguintes: 
  + Endereço IP 10.1.1.1, método HTTP POST: contagem 1
  + Endereço IP 10.1.1.1, método HTTP GET: contagem 2
  + Endereço IP 127.0.0.0, método HTTP POST: contagem 1

# Aplicando limitação de taxa às solicitações em AWS WAF
<a name="waf-rule-statement-type-rate-based-request-limiting"></a>

Esta seção explica como o comportamento da limitação de intervalos funciona para regras baseadas em intervalos.

Os critérios AWS WAF usados para limitar a taxa de solicitações de uma regra baseada em taxas são os mesmos AWS WAF usados para agregar solicitações para a regra. Se você definir uma instrução de escopo para a regra, AWS WAF somente agregará, contará e limitará as solicitações que correspondam à instrução de escopo reduzido. 

Os critérios de correspondência que fazem com que uma regra baseada em intervalos aplique as configurações de ação de regra a uma solicitação da web específica são os seguintes: 
+ A solicitação da web corresponde à instrução de redução de escopo da regra, se uma estiver definida.
+ A solicitação da web pertence a uma instância de agregação cuja contagem de solicitações está atualmente acima do limite da regra. 

**Como AWS WAF se aplica a ação da regra**  
Quando uma regra baseada em intervalos aplica limitação de intervalo a uma solicitação, ela aplica a ação da regra e, se você tiver definido algum tratamento ou rótulo personalizado em sua especificação de ação, a regra os aplica. Esse tratamento de solicitações é o mesmo que a forma como uma regra de correspondência aplica as configurações de ação às solicitações da web correspondentes. Uma regra baseada em intervalos só aplica rótulos ou executa outras ações em solicitações que estejam ativamente limitando o intervalo. 

Você pode usar qualquer ação de regra, exceto Allow. Para obter informações gerais sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

A lista a seguir descreve como a limitação de intervalo funciona para cada uma das ações.
+ **Block**— AWS WAF bloqueia a solicitação e aplica qualquer comportamento de bloqueio personalizado que você tenha definido. 
+ **Count**— AWS WAF conta a solicitação, aplica todos os cabeçalhos ou rótulos personalizados que você definiu e continua a avaliação do pacote de proteção (Web ACL) da solicitação. 

  Essa ação não limita a taxa de solicitações. Ela apenas conta as solicitações que estão acima do limite.
+ **CAPTCHA ou Challenge**: o AWS WAF trata a solicitação como Block ou como Count, dependendo do estado do token da solicitação. 

  Essa ação não limita o intervalo de solicitações que têm tokens válidos. Isso limita o intervalo de solicitações que estão além do limite e sem tokens válidos.
  + Se a solicitação não tiver um token válido e não expirado, a ação bloqueia a solicitação e envia o quebra-cabeça CAPTCHA ou o desafio do navegador de volta ao cliente. 

    Se o usuário final ou o navegador do cliente responder com êxito, o cliente receberá um token válido e reenviará automaticamente a solicitação original. Se a limitação de intervalo para a instância de agregação ainda estiver em vigor, essa nova solicitação com o token válido e não expirado terá a ação aplicada a ela conforme descrito no próximo marcador.
  + Se a solicitação tiver um token válido e não expirado, a ação CAPTCHA ou Challenge verificará o token e não executará nenhuma ação sobre a solicitação, semelhante à ação Count. A regra baseada em taxas retorna a avaliação da solicitação ao pacote de proteção (ACL da Web) sem realizar nenhuma ação de encerramento, e o pacote de proteção (ACL da Web) continua sua avaliação da solicitação.

  Para obter informações adicionais, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

**Se você limitar o intervalo apenas do endereço IP ou do endereço IP encaminhado**  
Quando você configura a regra para limitar o intervalo somente do endereço IP para o endereço IP encaminhado, você pode recuperar a lista de endereços IP que a regra está limitando no momento. Se você estiver usando uma instrução de redução de escopo, as solicitações com intervalo limitado são apenas aquelas na lista de IPs que correspondem à instrução de redução de escopo. Para obter informações sobre como recuperar a lista de endereços IP, consulte [Como listar endereços IP que estão sendo limitados por regras baseadas em intervalos](listing-managed-ips.md).

# Exemplos de regras baseadas em taxas em AWS WAF
<a name="waf-rule-statement-type-rate-based-examples"></a>

Esta seção descreve exemplos de configurações para uma variedade de casos de uso comuns de regras baseadas em intervalos. 

Cada exemplo fornece uma descrição do caso de uso e, em seguida, mostra a solução nas listas JSON para as regras personalizadas configuradas. 

**nota**  
As listas JSON mostradas nesses exemplos foram criadas no console configurando a regra e depois editando-a usando o **Editor JSON de regras**. 

**Topics**
+ [

# Limite de intervalo das solicitações a uma página de login
](waf-rate-based-example-limit-login-page.md)
+ [

# Limite de intervalo das solicitações a uma página de login a partir de qualquer endereço IP, par de agente de usuário
](waf-rate-based-example-limit-login-page-keys.md)
+ [

# Limite de intervalo de solicitações sem um cabeçalho específico
](waf-rate-based-example-limit-missing-header.md)
+ [

# Limite de intervalo de solicitações com rótulos específicos
](waf-rate-based-example-limit-labels.md)
+ [

# Limite de intervalo das solicitações de rótulos com um namespace de rótulo especificado
](waf-rate-based-example-limit-label-aggregation.md)
+ [

# Limite a taxa de solicitações com solicitações específicas ASNs
](waf-rate-based-example-limit-asn.md)

# Limite de intervalo das solicitações a uma página de login
<a name="waf-rate-based-example-limit-login-page"></a>

Para limitar o número de solicitações à página de login do seu site sem afetar o tráfego para o resto do site, você pode criar uma regra baseada em intervalos com uma instrução de redução de escopo que corresponda às solicitações à sua página de login e com a agregação de solicitações definida como **Contar tudo**. 

A regra baseada em taxas contará todas as solicitações da página de login em uma única instância de agregação e aplicará a ação da regra a todas as solicitações que correspondam à declaração de escopo reduzido quando as solicitações excederem o limite.

A lista JSON a seguir mostra um exemplo dessa configuração de regra. A opção de agregação Contar tudo está listada no JSON como a `CONSTANT` da configuração. Este exemplo corresponde às páginas de login que começam com `/login`. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CONSTANT",
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Limite de intervalo das solicitações a uma página de login a partir de qualquer endereço IP, par de agente de usuário
<a name="waf-rate-based-example-limit-login-page-keys"></a>

Para limitar o número de solicitações de endereço IP na página de login do seu site, use pares de agentes de usuário que excedam seu limite, defina a agregação de solicitações como **Chaves personalizadas** e forneça os critérios de agregação. 

A lista JSON a seguir mostra um exemplo dessa configuração de regra. Neste exemplo, definimos o limite para 100 solicitações em um período de cinco minutos por endereço IP, par de agentes de usuário. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 100,
      "EvaluationWindowSec": 300,
      "AggregateKeyType": "CUSTOM_KEYS",
      "CustomKeys": [
        {
          "Header": {
            "Name": "User-Agent",
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        },
        {
          "IP": {}
        }
      ],
      "ScopeDownStatement": {
        "ByteMatchStatement": {
          "FieldToMatch": {
            "UriPath": {}
          },
          "PositionalConstraint": "STARTS_WITH",
          "SearchString": "/login",
          "TextTransformations": [
            {
              "Type": "NONE",
              "Priority": 0
            }
          ]
        }
      }
    }
  }
}
```

# Limite de intervalo de solicitações sem um cabeçalho específico
<a name="waf-rate-based-example-limit-missing-header"></a>

Para limitar o número de solicitações sem um cabeçalho específico, você pode usar a opção de agregação **Contar tudo** com uma instrução de redução de escopo. Configure a instrução de redução de escopo com uma instrução `NOT` lógica contendo uma instrução que retornará verdadeira somente se o cabeçalho existir e tiver um valor. 

A lista JSON a seguir mostra um exemplo dessa configuração de regra. 

```
{
  "Name": "test-rbr",
  "Priority": 0,
  "Action": {
    "Block": {}
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-rbr"
  },
  "Statement": {
    "RateBasedStatement": {
      "Limit": 1000,
      "AggregateKeyType": "CONSTANT",
      "EvaluationWindowSec": 300,
      "ScopeDownStatement": {
        "NotStatement": {
          "Statement": {
            "SizeConstraintStatement": {
              "FieldToMatch": {
                "SingleHeader": {
                  "Name": "user-agent"
                }
              },
              "ComparisonOperator": "GT",
              "Size": 0,
              "TextTransformations": [
                {
                  "Type": "NONE",
                  "Priority": 0
                }
              ]
            }
          }
        }
      }
    }
  }
}
```

# Limite de intervalo de solicitações com rótulos específicos
<a name="waf-rate-based-example-limit-labels"></a>

Para limitar o número de solicitações de várias categorias, você pode combinar a limitação de intervalo com qualquer regra ou grupo de regras que adicione rótulos às solicitações. Para fazer isso, você configura o pacote de proteção (ACL da Web) da seguinte forma: 
+ Adicione as regras ou grupos de regras que adicionam rótulos e configure-os para que não bloqueiem ou permitam as solicitações que você deseja limitar. Se você usa grupos de regras gerenciadas, talvez seja necessário substituir algumas ações de regras de grupos de regras para Count alcançar esse comportamento. 
+ Adicione uma regra baseada em taxa ao seu pacote de proteção (web ACL) com uma configuração de número de prioridade maior do que as regras de rotulagem e os grupos de regras. AWS WAF avalia as regras em ordem numérica, começando pela mais baixa, para que sua regra baseada em taxas seja executada após as regras de rotulagem. Configure seu limite de intervalo nos rótulos usando uma combinação de correspondência de rótulos na instrução de redução de escopo e agregação de rótulos da regra. 

O exemplo a seguir usa o grupo de regras AWS Managed Rules da lista de reputação de IP da Amazon. A regra do grupo de regras `AWSManagedIPDDoSList` detecta e rotula solicitações IPs que são conhecidas por estarem ativamente envolvidas em atividades DDo S. A ação de regra é configurada para Count na definição do grupo de regras. Para saber mais sobre o grupo de regras, consulte [Grupo de regras gerenciadas da lista de reputação de IPs da Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon).

A lista JSON do pacote de proteção (ACL da Web) a seguir usa o grupo de regras de reputação de IP seguido por uma regra baseada em taxas de correspondência de rótulos. A regra baseada em intervalos usa uma instrução de redução de escopo para filtrar as solicitações que foram marcadas pela regra do grupo de regras. A instrução de regra baseada em intervalos agrega e limita as solicitações filtradas por seus endereços IP. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesAmazonIpReputationList",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesAmazonIpReputationList"
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesAmazonIpReputationList"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "EvaluationWindowSec": 300,
          "AggregateKeyType": "IP",
          "ScopeDownStatement": {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList"
            }
          }
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 28,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Limite de intervalo das solicitações de rótulos com um namespace de rótulo especificado
<a name="waf-rate-based-example-limit-label-aggregation"></a>

**nota**  
As regras de nível comum no grupo de regras gerenciadas do Controle de Bots adicionam rótulos para bots de várias categorias, mas só bloqueiam solicitações de bots não verificados. Para obter informações sobre essas regras, consulte [Lista de regras do Controle de Bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

Se você usa o grupo de regras gerenciadas do Controle de Bots, pode adicionar limitação de intervalo para solicitações de bots verificados individuais. Para fazer isso, você adiciona uma regra baseada em intervalos que é executada após o grupo de regras do Controle de Bots e agrega as solicitações por seus rótulos de nome de bot. Você especifica a chave de agregação do **Namespace do rótulo** e define a chave do namespace como `awswaf:managed:aws:bot-control:bot:name:`. Cada rótulo exclusivo com o namespace especificado definirá uma instância de agregação. Por exemplo, os rótulos `awswaf:managed:aws:bot-control:bot:name:axios` e `awswaf:managed:aws:bot-control:bot:name:curl` cada um definem uma instância de agregação.

A lista JSON de pacote de proteção (ACL da Web) a seguir mostra essa configuração. A regra nesse exemplo limita as solicitações de qualquer instância única de agregação de bots a 1000 em um período de dois minutos. 

```
{
  "Name": "test-web-acl",
  "Id": ... 
  "ARN": ...
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesBotControlRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesBotControlRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesBotControlRuleSet": {
                "InspectionLevel": "COMMON"
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesBotControlRuleSet"
      }
    },
    {
      "Name": "test-rbr",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 1000,
          "EvaluationWindowSec": 120,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "LabelNamespace": {
                "Namespace": "awswaf:managed:aws:bot-control:bot:name:"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "test-web-acl"
  },
  "Capacity": 82,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:0000000000:webacl:test-web-acl:"
}
```

# Limite a taxa de solicitações com solicitações específicas ASNs
<a name="waf-rate-based-example-limit-asn"></a>

Para limitar o número de solicitações de Números de Sistema Autônomo (ASNs) específicos com base no endereço IP das solicitações, defina a agregação da solicitação como *Chaves personalizadas* e forneça os critérios de agregação.

O JSON a seguir mostra um exemplo de agregação de regras ASNs derivada de endereços IP encaminhados encontrados no cabeçalho. `X-Forwarded-For` Se não for AWS WAF possível derivar um ASN porque o endereço IP está mal formado, o comportamento de fallback é definido como. `MATCH`

```
{
    "Name": "test-rbr",
    "Priority": 0,
    "Statement": {
        "RateBasedStatement": {
            "AggregateKeyType": "CUSTOM_KEYS",
            "CustomKeys": [
                {
                    "ASN": {}
                },
                {
                    "ForwardedIP": {}
                }
            ],
            "EvaluationWindowSec": 300,
            "ForwardedIPConfig": {
                "FallbackBehavior": "MATCH",
                "HeaderName": "X-Forwarded-For"
            },
            "Limit": 2000
        }
    },
    "VisibilityConfig": {
        "CloudWatchMetricsEnabled": true,
        "MetricName": "test-rbr",
        "SampledRequestsEnabled": true
    }
}
```

# Como listar endereços IP que estão sendo limitados por regras baseadas em intervalos
<a name="listing-managed-ips"></a>

Esta seção explica como acessar a lista de endereços IP atualmente limitados por uma regra baseada em taxas usando a CLI, a API ou qualquer uma das. SDKs 

Se sua regra baseada em taxa agregar apenas o endereço IP ou o endereço IP encaminhado, você poderá recuperar a lista de endereços IP que a regra limita atualmente. AWS WAF armazena esses endereços IP na lista de chaves gerenciadas da regra. 

**nota**  
Essa opção só estará disponível se você agregar somente o endereço IP ou somente um endereço IP em um cabeçalho. Se você usar a agregação de solicitações de chaves personalizadas, não poderá recuperar uma lista de endereços IP com intervalos limitados, mesmo se usar uma das especificações de endereço IP em suas chaves personalizadas.

Uma regra baseada em intervalos aplica sua ação de regra às solicitações da lista de chaves gerenciadas da regra que correspondem à instrução de escopo da regra. Quando uma regra não tem uma instrução de redução de escopo, ela aplica a ação a todas as solicitações dos endereços IP que estão na lista. A ação de regra é Block por padrão, mas pode ser qualquer ação de regra válida, exceto Allow. O número máximo de endereços IP que AWS WAF podem limitar a taxa usando uma única instância de regra baseada em taxa é 10.000. Se mais de 10.000 endereços excederem o limite de taxa, AWS WAF limite aqueles com as taxas mais altas. 

Você pode acessar a lista de chaves gerenciadas de uma regra baseada em taxas usando a CLI, a API ou qualquer uma das. SDKs Este tópico aborda o acesso usando a CLI e. APIs O console não fornece acesso à lista no momento. 

Para a AWS WAF API, o comando é [GetRateBasedStatementManagedKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRateBasedStatementManagedKeys.html).

[Para a AWS WAF CLI, o comando é get-rate-based-statement -managed-keys.](https://docs.aws.amazon.com/cli/latest/reference/wafv2/get-rate-based-statement-managed-keys.html) 

Veja a seguir a sintaxe para recuperar a lista de endereços IP com taxa limitada para uma regra baseada em taxas que está sendo usada em um pacote de proteção (web ACL) em uma distribuição da Amazon. CloudFront 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

Veja a seguir a sintaxe de um aplicativo regional, uma API REST do Amazon API Gateway, um Application Load Balancer, uma API AWS AppSync GraphQL, um grupo de usuários do Amazon Cognito, AWS App Runner um serviço AWS Amplify ou uma instância de acesso verificado. AWS 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName
```

AWS WAF monitora solicitações da web e gerencia as chaves de forma independente para cada combinação exclusiva de pacote de proteção (Web ACL), grupo de regras opcional e regra baseada em taxas. Por exemplo, se você definir uma regra baseada em taxas dentro de um grupo de regras e, em seguida, usar o grupo de regras em um pacote de proteção (ACL da Web), o AWS WAF monitorará as solicitações da Web e gerenciará as chaves para esse pacote de proteção (ACL da Web), instrução de referência do grupo de regras e instância de regra baseada em taxas. Se você usar o mesmo grupo de regras em um segundo pacote de proteção (Web ACL), AWS WAF monitora as solicitações da Web e gerencia as chaves para esse segundo uso de forma totalmente independente da primeira.

Para uma regra baseada em taxas definida dentro de um grupo de regras, você precisa fornecer o nome da instrução de referência do grupo de regras em sua solicitação, além do nome do pacote de proteção (ACL da Web) e do nome da regra baseada em taxas dentro do grupo de regras. Veja a seguir a sintaxe de uma aplicação regional na qual a regra baseada em taxas é definida dentro de um grupo de regras e o grupo de regras é usado em um pacote de proteção (ACL da Web). 

```
aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName
```

# Usando declarações de regras de grupos de regras em AWS WAF
<a name="waf-rule-statements-rule-group"></a>

**nota**  
As instruções de regras de grupo de regras não são aninháveis. 

Esta seção descreve as instruções das regras do grupo de regras que você pode usar no pacote de proteção (ACL da Web). As unidades de capacidade () do pacote de proteção de grupos de regras (Web ACLWCUs) são definidas pelo proprietário do grupo de regras no momento da criação. Para obter informações sobre WCUs, consulte[Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md). 


| Instrução do grupo de regras | Description | WCUs | 
| --- | --- | --- | 
|  [Como usar instruções de grupos de regras gerenciadas](waf-rule-statement-type-managed-rule-group.md)  |  Executa as regras definidas no grupo de regras gerenciadas especificado.  Você pode restringir o escopo das solicitações que o grupo de regras avalia adicionando uma instrução de redução de escopo.  Você não pode aninhar uma instrução de grupo de regras dentro de qualquer outro tipo de instrução.  |  Definido pelo grupo de regras, além de qualquer adicional WCUs para uma instrução de escopo reduzido.  | 
| [Como usar as instruções de grupos de regras](waf-rule-statement-type-rule-group.md) | Executa as regras definidas em um grupo de regras que você gerencia.  Não é possível adicionar uma instrução de redução de escopo a uma instrução de referência de grupo de regras para seu próprio grupo de regras.  Você não pode aninhar uma instrução de grupo de regras dentro de qualquer outro tipo de instrução  | Você define o limite de WCU para o grupo de regras ao criá-lo. | 

# Usando declarações de grupos de regras gerenciadas em AWS WAF
<a name="waf-rule-statement-type-managed-rule-group"></a>

Esta seção explica como as informações de regras de grupos de regras gerenciadas funcionam.

A instrução de regra de grupo de regras gerenciadas adiciona uma referência à lista de regras do pacote de proteção (ACL da Web) a um grupo de regras gerenciadas. Você não vê essa opção em suas instruções de regra no console, mas quando trabalha com o formato JSON da ACL da Web, todos os grupos de regras gerenciadas que você adicionou aparecem sob as regras do pacote de proteção (ACL da Web) como esse tipo.

Um grupo de regras gerenciadas é um grupo de regras AWS gerenciadas, a maioria dos quais é gratuita para AWS WAF clientes, ou um grupo de regras AWS Marketplace gerenciadas. Você se inscreve automaticamente nos grupos de regras pagas do AWS Managed Rules ao adicioná-los ao seu pacote de proteção (web ACL). Você pode se inscrever em grupos de regras AWS Marketplace gerenciados por meio de AWS Marketplace. Para obter mais informações, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md).

Ao adicionar um grupo de regras a um pacote de proteção (ACL da Web), você pode modificar as ações das regras no grupo para Count ou para outra ação de regra. Para obter mais informações, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md).

Você pode restringir o escopo das solicitações que são AWS WAF avaliadas com o grupo de regras. Para fazer isso, você adiciona uma instrução de redução de escopo dentro da instrução do grupo de regras. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md). Isso pode ajudá-lo a gerenciar como o grupo de regras afeta seu tráfego e pode ajudá-lo a conter os custos associados ao volume de tráfego quando você usa o grupo de regras. Para obter informações e exemplos de uso de instruções de escopo reduzido com o grupo de regras gerenciadas do AWS WAF Bot Control, consulte. [AWS WAF Controle de bots](waf-bot-control.md)

## Características das instruções de regras
<a name="managed-rule-group-rule-statement-characteristics"></a>

**Não aninhável**: você não pode aninhar esse tipo de instrução dentro de outras instruções e não pode incluí-la em um grupo de regras. Você pode incluí-la diretamente em um pacote de proteção (ACL da Web). 

**(Opcional) Instrução de redução de escopo**: esse tipo de regra usa uma instrução opcional de redução de escopo para restringir o escopo das solicitações que o grupo de regras avalia. Para obter mais informações, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

**WCUs**— Definido para o grupo de regras na criação.

## Onde encontrar essa instrução de regra
<a name="managed-rule-group-rule-statement-where-to-find"></a>
+ **Console**: durante o processo de criação de um pacote de proteção (ACL da Web), na página **Adicionar regras e grupos de regras**, escolha **Adicionar grupos de regras gerenciadas** e, em seguida, localize e selecione o grupo de regras que você deseja usar.
+ **API**: [ManagedRuleGroupStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_ManagedRuleGroupStatement.html)

# Usando declarações de grupos de regras em AWS WAF
<a name="waf-rule-statement-type-rule-group"></a>

Esta seção explica como as instruções de regras de grupos de regras funcionam.

A instrução de regra do grupo de regras adiciona uma referência à lista de regras de pacote de proteção (ACL da Web) a um grupo de regras que você gerencia. Você não vê essa opção em suas instruções de regra no console, mas quando trabalha com o formato JSON do pacote de proteção (ACL da Web), os seus próprios grupos de regras adicionados aparecem sob as regras do pacote de proteção (ACL da Web) como esse tipo. Para obter informações sobre como usar seus próprios grupos de regras, consulte [Gerenciar seus próprios grupos de regras](waf-user-created-rule-groups.md).

Ao adicionar um grupo de regras a um pacote de proteção (ACL da Web), você pode modificar as ações das regras no grupo para Count ou para outra ação de regra. Para saber mais, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md).

## Características das instruções de regras
<a name="rule-group-rule-statement-characteristics"></a>

**Não aninhável**: você não pode aninhar esse tipo de instrução dentro de outras instruções e não pode incluí-la em um grupo de regras. Você pode incluí-la diretamente em um pacote de proteção (ACL da Web). 

**WCUs**— Definido para o grupo de regras na criação.

## Onde encontrar essa instrução de regra
<a name="rule-group-rule-statement-where-to-find"></a>
+ **Console**: durante o processo de criação de um pacote de proteção (ACL da Web), na página **Adicionar regras e grupos de regras**, escolha **Adicionar minhas próprias regras e grupos de regras**, **Grupo de regras** e depois adicione o grupo de regras que você deseja usar.
+ **API**: [RuleGroupReferenceStatement](https://docs.aws.amazon.com/waf/latest/APIReference/API_RuleGroupReferenceStatement.html)

# AWS WAF grupos de regras
<a name="waf-rule-groups"></a>

Esta seção explica o que é um grupo de regras e como ele funciona.

Um grupo de regras é um conjunto reutilizável de regras que você pode adicionar a um pacote de proteção (ACL da Web). Para obter mais informações sobre pacotes de proteção (web ACLs), consulte[Configurando a proteção em AWS WAF](web-acl.md).

Os grupos de regras se enquadram em duas categorias principais: 
+ Seus próprios grupos de regras, que você cria e mantém. 
+ Grupos de regras AWS gerenciadas que as equipes de regras gerenciadas criam e mantêm para você. 
+ Grupos de regras gerenciados que AWS Marketplace os vendedores criam e mantêm para você. 
+ Grupos de regras que pertencem e são gerenciados por outros serviços, como AWS Firewall Manager o Shield Advanced.

**Diferenças entre grupos de regras e pacotes de proteção (web ACLs)**  
Tanto os grupos de regras quanto os pacotes de proteção (web ACLs) contêm regras, que são definidas da mesma maneira nos dois lugares. Os grupos de regras diferem dos pacotes de proteção (web ACLs) das seguintes maneiras: 
+ Os grupos de regras não podem conter instruções de referência de grupos de regras. 
+ Você pode reutilizar um único grupo de regras em vários pacotes de proteção (web ACLs) adicionando uma declaração de referência de grupo de regras a cada pacote de proteção (web ACL). Não é possível reutilizar um pacote de proteção (ACL da Web).
+ Grupos de regras não têm ações padrão. Em um pacote de proteção (ACL da Web), você define uma ação padrão para cada regra ou grupo de regras que você incluir. Cada regra individual dentro de um grupo de regras ou pacote de proteção (ACL da Web) tem uma ação definida. 
+ Você não associa diretamente um grupo de regras a um AWS recurso. Para proteger recursos usando um grupo de regras, use o grupo de regras em um pacote de proteção (ACL da Web). 
+ O sistema define uma capacidade máxima de 5.000 unidades de capacidade do pacote de proteção (ACL da webWCUs) para cada pacote de proteção (ACL da web). Cada grupo de regras tem uma configuração WCU que deve ser definida na criação. Você pode usar essa configuração para calcular os requisitos de capacidade adicionais que o uso de um grupo de regras adicionaria ao pacote de proteção (ACL da Web). Para obter mais informações sobre WCUs, consulte[Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md).

Para obter mais informações sobre regras, consulte [AWS WAF regras](waf-rules.md).

Esta seção fornece orientações [ara criar e gerenciar seus próprios grupos de regras, descreve os grupos de regras gerenciados que estão disponíveis para você e fornece orientações para usar os grupos de regras gerenciadas. 

**Topics**
+ [

# Usando grupos de regras gerenciados em AWS WAF
](waf-managed-rule-groups.md)
+ [

# Gerenciar seus próprios grupos de regras
](waf-user-created-rule-groups.md)
+ [

# AWS Marketplace grupos de regras
](marketplace-rule-groups.md)
+ [

# Como reconhecer grupos de regras fornecidos por outros serviços
](waf-service-owned-rule-groups.md)

# Usando grupos de regras gerenciados em AWS WAF
<a name="waf-managed-rule-groups"></a>

Esta seção explica o que são grupos de regras gerenciadas e como eles funcionam.

Grupos de regras gerenciadas são coleções de ready-to-use regras predefinidas que AWS AWS Marketplace os vendedores escrevem e mantêm para você. AWS WAF O preço básico se aplica ao uso de qualquer grupo de regras gerenciadas. Para obter informações sobre AWS WAF preços, consulte [AWS WAF Preços](https://aws.amazon.com/waf/pricing/).
+ *Os grupos de regras AWS gerenciadas para controle de AWS WAF bots, controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e controle de fraudes para prevenção de AWS WAF fraudes na criação de contas (ACFP)* estão disponíveis por taxas adicionais, além das cobranças básicas. AWS WAF Para obter detalhes sobre os preços, consulte [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/). 
+ *Todos os outros grupos de regras de regras AWS gerenciadas* estão disponíveis para AWS WAF os clientes sem custo adicional. 
+ *AWS Marketplace grupos de regras* estão disponíveis por assinatura em AWS Marketplace. Cada um desses grupos de regras pertence e é gerenciado pelo AWS Marketplace vendedor. Para obter informações sobre preços para usar um grupo de AWS Marketplace regras, entre em contato com o AWS Marketplace vendedor. 

Alguns grupos de regras gerenciados são projetados para ajudar a proteger tipos específicos de aplicativos da WebWordPress, como Joomla ou PHP. Outros oferecem ampla proteção contra ameaças conhecidas ou vulnerabilidades de aplicativos web comuns, como as listadas no [OWASP Top 10](https://owasp.org/www-project-top-ten/). Se estiver sujeito à compatibilidade regulatória, como PCI ou HIPAA, você poderá usar grupos de regras gerenciadas para atender aos requisitos de firewall do aplicativo web.

**Atualizações automáticas**  
Manter se atualizado sobre o panorama de ameaças em constante alteração pode ser demorado e caro. Os grupos de regras do Marketplace podem economizar tempo ao implementar e usar o AWS WAF. Muitos AWS AWS Marketplace vendedores atualizam automaticamente os grupos de regras gerenciados e fornecem novas versões dos grupos de regras quando surgem novas vulnerabilidades e ameaças. 

Em alguns casos, AWS é notificado sobre novas vulnerabilidades antes da divulgação pública, devido à sua participação em várias comunidades privadas de divulgação. Nesses casos, AWS pode atualizar os grupos de regras de regras AWS gerenciadas e implantá-los para você mesmo antes que uma nova ameaça seja amplamente conhecida. 

**Acesso restrito às regras em um grupo de regras gerenciadas**  
Cada grupo de regras gerenciadas fornece uma descrição abrangente dos tipos de ataques e vulnerabilidades contra os quais ele foi projetado para proteger. Para proteger a propriedade intelectual dos provedores do grupo de regras, você não poderá visualizar todos os detalhes para as regras individuais dentro de um grupo de regras. Essa restrição também ajuda a impedir que usuários mal-intencionados projetem ameaças que ignorem especificamente regras publicadas.

**Topics**
+ [

# Usando grupos de regras gerenciados com versão no AWS WAF
](waf-managed-rule-groups-versioning.md)
+ [

# Trabalhar com grupos de regras gerenciadas
](waf-using-managed-rule-groups.md)
+ [

# AWS Regras gerenciadas para AWS WAF
](aws-managed-rule-groups.md)

# Usando grupos de regras gerenciados com versão no AWS WAF
<a name="waf-managed-rule-groups-versioning"></a>

Esta seção explica como o versionamento é tratado por grupos de regras gerenciadas.

Muitos provedores de grupos de regras gerenciadas usam versionamento para atualizar as opções e os recursos de um grupo de regras. Normalmente, uma versão específica de um grupo de regras gerenciadas é estática. Ocasionalmente, um provedor pode precisar atualizar algumas ou todas as versões estáticas de um grupo de regras gerenciadas, por exemplo, para responder a uma ameaça de segurança emergente. 

Ao usar um grupo versionado de regras gerenciadas no pacote de produção (ACL da Web), você pode selecionar a versão padrão e deixar o provedor gerenciar qual versão estática você usa ou pode selecionar uma versão específica. 

**Não consegue encontrar a versão que você quer?**  
Se você não vê uma versão na lista de versões de um grupo de regras, a versão provavelmente está programada para expirar ou já expirou. Depois que uma versão está programada para expirar, AWS WAF não é mais possível escolhê-la para o grupo de regras. 

**Notificações de SNS para grupos de regras de regras AWS gerenciadas**  
Todos os grupos de regras de regras AWS gerenciadas fornecem notificações de controle de versão e atualização do SNS, exceto os grupos de regras de reputação de IP. Todos os grupos de regras AWS gerenciadas que fornecem notificações usam o mesmo tópico do SNS Amazon Resource Name (ARN). Para se cadastrar e receber notificações do SNS, consulte [Como receber notificações sobre novas versões e atualizações](waf-using-managed-rule-groups-sns-topic.md).

**Topics**
+ [

# Ciclo de vida de versão para grupos de regras gerenciadas
](waf-managed-rule-groups-versioning-lifecycle.md)
+ [

# Expiração da versão para grupos de regras gerenciadas
](waf-managed-rule-groups-versioning-expiration.md)
+ [

# Práticas recomendadas para lidar com versões gerenciadas de grupos de regras
](waf-managed-rule-groups-best-practice.md)

# Ciclo de vida de versão para grupos de regras gerenciadas
<a name="waf-managed-rule-groups-versioning-lifecycle"></a>

Os provedores lidam com os seguintes estágios do ciclo de vida de uma versão estática do grupo de regras gerenciadas: 
+ **Lançamento e atualizações**: um provedor de grupos de regras gerenciadas anuncia as próximas e novas versões estáticas de seus grupos de regras gerenciadas por meio de notificações para um tópico do Amazon Simple Notification Service (Amazon SNS). Os provedores também podem usar o tópico para comunicar outras informações importantes sobre seus grupos de regras, como atualizações urgentes e necessárias. 

  Você pode se inscrever no tópico do grupo de regras e configurar como deseja receber notificações. Para saber mais, consulte [Como receber notificações sobre novas versões e atualizações](waf-using-managed-rule-groups-sns-topic.md).
+ **Programação de expiração**: um provedor de grupos de regras gerenciadas programa versões mais antigas de um grupo de regras para expiração. Uma versão programada para expirar não pode ser adicionada às regras de pacote de proteção (ACL da Web). Depois que a expiração é programada para uma versão, AWS WAF monitora a expiração com uma métrica de contagem regressiva na Amazon CloudWatch. 
+ **Expiração da versão** — Se você tiver um pacote de proteção (web ACL) configurado para usar uma versão expirada de um grupo de regras gerenciadas, então, durante a avaliação do pacote de proteção (web ACL), AWS WAF use a versão padrão do grupo de regras. Além disso, AWS WAF bloqueia todas as atualizações do pacote de proteção (Web ACL) que não removam o grupo de regras nem alterem sua versão para uma não expirada.

Se você usa grupos de regras AWS Marketplace gerenciados, peça ao provedor qualquer informação adicional sobre os ciclos de vida da versão. 

# Expiração da versão para grupos de regras gerenciadas
<a name="waf-managed-rule-groups-versioning-expiration"></a>

 Esta seção explica como a expiração de versões funciona para um grupo versionado de regras gerenciadas.

Se você usa uma versão específica de um grupo de regras, certifique-se de não continuar usando uma versão após a data de expiração. Você pode monitorar a expiração da versão por meio das notificações do SNS do grupo de regras e por meio das CloudWatch métricas da Amazon. 

Se uma versão que você está usando em um pacote de proteção (web ACL) expirar, AWS WAF bloqueia todas as atualizações do pacote de proteção (web ACL) que não incluam a mudança do grupo de regras para uma versão não expirada. Você pode atualizar o grupo de regras para uma versão disponível ou removê-lo do pacote de proteção (ACL da Web). 

O tratamento da expiração de um grupo de regras gerenciadas depende do provedor do grupo de regras. Nos grupos de regras para regras gerenciadas da AWS , a versão expirada é automaticamente alterada para a versão padrão do grupo de regras. Para grupos de AWS Marketplace regras, pergunte ao provedor como eles lidam com a expiração.

Quando o provedor cria uma nova versão do grupo de regras, ele define a vida útil prevista da versão. Embora a versão não esteja programada para expirar, o valor CloudWatch métrico da Amazon é definido como a configuração de vida útil prevista e, em CloudWatch, você verá um valor fixo para a métrica. Depois que o provedor programa a métrica para expirar, o valor da métrica diminui a cada dia até chegar a zero no dia da expiração. Para obter informações sobre o monitoramento da expiração, consulte [Acompanhamento da expiração da versão](waf-using-managed-rule-groups-expiration.md).

# Práticas recomendadas para lidar com versões gerenciadas de grupos de regras
<a name="waf-managed-rule-groups-best-practice"></a>

Siga essa orientação de práticas recomendadas para lidar com o versionamento ao usar um grupo de regras gerenciadas versionado.

Ao usar um grupo de regras gerenciadas no pacote de proteção (ACL da Web), você pode optar por usar uma versão específica e estática do grupo de regras ou pode optar por usar a versão padrão: 
+ **Versão padrão** — AWS WAF sempre define a versão padrão como a versão estática atualmente recomendada pelo provedor. Quando o provedor atualiza a versão estática recomendada, o AWS WAF atualiza automaticamente a configuração da versão padrão para o grupo de regras no pacote de proteção (ACL da Web). 

  Ao usar a versão padrão de um grupo de regras gerenciadas, faça o seguinte como prática recomendada: 
  + **Inscreva-se nas notificações**: inscreva-se nas notificações de mudanças no grupo de regras e fique de olho nelas. A maioria dos provedores envia notificações avançadas sobre novas versões estáticas e alterações na versão padrão. Eles permitem que você verifique os efeitos de uma nova versão estática antes AWS de mudar a versão padrão para ela. Para obter mais informações, consulte [Como receber notificações sobre novas versões e atualizações](waf-using-managed-rule-groups-sns-topic.md).
  + **Revise os efeitos das configurações da versão estática e fazer os ajustes necessários antes que seu padrão seja definido**: antes que seu padrão seja definido como uma nova versão estática, revise os efeitos da versão estática no monitoramento e no gerenciamento de suas solicitações da web. A nova versão estática pode ter novas regras para revisar. Procure falsos positivos ou outros comportamentos inesperados, caso precise modificar a forma como você usa o grupo de regras. Você pode definir regras para contar, por exemplo, para impedir que elas bloqueiem o tráfego enquanto você descobre como deseja lidar com o novo comportamento. Para saber mais, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).
+ **Versão estática**: se você optar por usar uma versão estática, deverá atualizar manualmente a configuração da versão quando estiver pronto para adotar uma nova versão do grupo de regras. 

  Ao usar a versão estática de um grupo de regras gerenciadas, faça o seguinte como prática recomendada: 
  + **Mantenha sua versão atualizada**: mantenha seu grupo de regras gerenciadas o mais próximo possível da versão mais recente. Quando uma nova versão for lançada, teste-a, ajuste as configurações conforme necessário e implemente-a em tempo hábil. Para ter mais informações sobre testes, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).
  + **Inscreva-se para receber notificações**: inscreva-se nas notificações de alterações no grupo de regras para saber quando seu provedor lançará novas versões estáticas. A maioria dos provedores notifica com antecedência as alterações de versão. Além disso, seu provedor pode precisar atualizar a versão estática que você está usando para fechar uma brecha de segurança ou por outros motivos urgentes. Você saberá o que está acontecendo se estiver inscrito nas notificações do provedor. Para saber mais, consulte [Como receber notificações sobre novas versões e atualizações](waf-using-managed-rule-groups-sns-topic.md).
  + **Evite a expiração da versão**: não permita que uma versão estática expire enquanto você a estiver usando. O tratamento de versões expiradas pelo provedor pode variar e pode incluir forçar uma atualização para uma versão disponível ou outras alterações que possam ter consequências inesperadas. Acompanhe a métrica de AWS WAF expiração e defina um alarme que forneça um número suficiente de dias para atualizar com êxito para uma versão compatível. Para obter mais informações, consulte [Acompanhamento da expiração da versão](waf-using-managed-rule-groups-expiration.md).



# Trabalhar com grupos de regras gerenciadas
<a name="waf-using-managed-rule-groups"></a>

Esta seção fornece orientações para acessar e gerenciar seus grupos de regras gerenciadas. 

Ao adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher as mesmas opções de configuração que faria com seus próprios grupos de regras, além de configurações adicionais. 

Por meio do console, você acessa as informações gerenciadas do grupo de regras durante o processo de adição e edição das regras em seus pacotes de proteção (web ACLs). Por meio da APIs interface de linha de comando (CLI), você pode solicitar diretamente as informações do grupo de regras gerenciadas.

Ao usar um grupo de regras gerenciadas no pacote de proteção (ACL da Web), você pode editar as seguintes configurações: 
+ **Versão**: isso estará disponível somente se o grupo de regras for versionado. Para saber mais, consulte [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Substituir ações de regras**: você pode substituir as ações das regras no grupo de regras por qualquer ação. Configurá-los como Count é útil para testar um grupo de regras antes de usá-lo para gerenciar suas solicitações da web. Para saber mais, consulte [Substituições de ações de regras de grupos de regras](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Instrução de redução de escopo**: você pode adicionar uma instrução de redução de escopo para filtrar solicitações da web que você não deseja avaliar com o grupo de regras. Para saber mais, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
+ **Substituir ação do grupo de regras**: você pode substituir a ação que resulta da avaliação do grupo de regras e defini-la como Count somente. Essa opção não é comumente usada. Isso não altera a forma como AWS WAF avalia as regras no grupo de regras. Para obter mais informações, consulte [A ação de retorno do grupo de regras é substituída por Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).

**Para editar as configurações do grupo de regras gerenciadas no pacote de proteção (ACL da Web)**
+ **Console** 
  + (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher **Editar** para visualizar e editar as configurações. 
  + (Opção) Depois de adicionar o grupo de regras gerenciadas ao seu pacote de proteção (web ACL), na página de **pacotes de proteção (web ACLs)**, escolha o pacote de proteção (web ACL) que você acabou de criar. Isso leva você para a página de edição do pacote de proteção (ACL da Web). 
    + Escolha **Regras**. 
    + Selecione o grupo de regras e escolha **Editar** para visualizar e editar as configurações. 
+ **APIs e CLI** — fora do console, você pode gerenciar as configurações do grupo de regras gerenciadas ao criar e atualizar o pacote de proteção (Web ACL). 

# Recuperação da lista de grupos de regras gerenciadas
<a name="waf-using-managed-rule-groups-list"></a>

Você pode recuperar a lista de grupos de regras gerenciados que estão disponíveis para você usar em seus pacotes de proteção (web ACLs). A lista inclui o seguinte: 
+ Todos os grupos de regras de regras AWS gerenciadas.
+ Os grupos de AWS Marketplace regras nos quais você se inscreveu. 
**nota**  
Para obter informações sobre como se inscrever em grupos de AWS Marketplace regras, consulte[AWS Marketplace grupos de regras](marketplace-rule-groups.md).

Quando você recupera a lista de grupos de regras gerenciadas, a lista que você recebe depende da interface que você está usando: 
+ **Console** — Por meio do console, você pode ver todos os grupos de regras gerenciados, incluindo os grupos de AWS Marketplace regras nos quais você ainda não se inscreveu. Para aqueles em que você ainda não se inscreveu, a interface fornece links que você pode seguir para fazê-lo. 
+ **APIs e CLI** — fora do console, sua solicitação retorna somente os grupos de regras que estão disponíveis para você usar. 

**Para recuperar a lista de grupos de regras gerenciadas**
+ **Console**: durante o processo de criação de uma web ACL, na página **Adicionar regras e grupos de regras**, escolha **Adicionar grupos de regras gerenciadas**. No nível superior, os nomes dos provedores são listados. Expanda cada listagem de fornecedor para ver a lista de grupos de regras gerenciadas. Para grupos de regras versionados, as informações mostradas nesse nível são para a versão padrão. Quando você adiciona um grupo de regras gerenciado ao pacote de proteção (ACL da Web), o console o lista com base no esquema de nomenclatura `<Vendor Name>-<Managed Rule Group Name>`. 
+ **API**:
  +  `ListAvailableManagedRuleGroups`
+ **CLI**:
  + `aws wafv2 list-available-managed-rule-groups --scope=<CLOUDFRONT|REGIONAL>`

# Recuperação das regras em um grupo de regras gerenciadas
<a name="waf-using-managed-rule-groups-rules"></a>

Você pode recuperar uma lista de regras em um grupo de regras gerenciadas. As chamadas de API e CLI retornam as especificações de regras que você pode referenciar no modelo JSON ou por meio dele. AWS CloudFormation

**Para recuperar a lista de regras em um grupo de regras gerenciadas**
+ **Console** 
  + (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher **Editar** para visualizar as regras. 
  + (Opção) Depois de adicionar o grupo de regras gerenciadas ao seu pacote de proteção (web ACL), na página de **pacotes de proteção (web ACLs)**, escolha o pacote de proteção (web ACL) que você acabou de criar. Isso leva você para a página de edição do pacote de proteção (ACL da Web). 
    + Escolha **Regras**. 
    + Selecione o grupo de regras para o qual você deseja ver uma lista de regras e escolha **Editar**. AWS WAF mostra a lista de regras no grupo de regras. 
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Recuperação das versões disponíveis para um grupo de regras gerenciadas
<a name="waf-using-managed-rule-groups-versions"></a>

As versões disponíveis de um grupo de regras gerenciadas são versões que ainda não foram programadas para expirar. A lista indica qual versão é a versão padrão atual para o grupo de regras.

**Para recuperar uma lista das versões disponíveis de um grupo de regras gerenciadas**
+ **Console** 
  + (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher **Editar** para ver as informações do grupo de regras. Expanda o menu suspenso **Versão** para ver a lista de versões disponíveis. 
  + (Opção) Depois de adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), escolha **Editar** no pacote de proteção (ACL da Web) e, em seguida, selecione e edite a regra do grupo de regras. Expanda o menu suspenso **Versão** para ver a lista de versões disponíveis. 
+ **API**:
  +  `ListAvailableManagedRuleGroupVersions`
+ **CLI**:
  +  `aws wafv2 list-available-managed-rule-group-versions --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

# Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console
<a name="waf-using-managed-rule-group"></a>

Essa seção explica como adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console. Essa orientação se aplica a todos os grupos de regras de regras AWS gerenciadas e aos grupos de AWS Marketplace regras nos quais você está inscrito. 

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console**

**Para adicionar um grupo de regras gerenciadas a uma web ACL por meio do console**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **pacotes de proteção (web ACLs)** no painel de navegação. 

1. Na página de **pacotes de proteção (web ACLs)**, na lista de pacotes de proteção (web ACLs), selecione aquele ao qual você deseja adicionar o grupo de regras. Isso o levará para a página do pacote de proteção (ACL da Web) único.

1. Na página de configurações do pacote de proteção (ACL da Web), escolha a guia **Regras**. 

1. No painel **Regras**, escolha **Adicionar regras**, então **Adicionar grupos de regras gerenciadas**. 

1. Na página **Adicionar grupos de regras gerenciadas**, expanda a seleção do fornecedor do seu grupo de regras para ver a lista de grupos de regras disponíveis. 

1. Para cada grupo de regras que você deseja adicionar, escolha **Adicionar ao pacote de proteção (ACL da Web)**. Se você quiser alterar a configuração do pacote de proteção (ACL da Web) para o grupo de regras, escolha **Editar**, faça suas alterações e escolha **Salvar regra**. Para obter informações sobre as opções, consulte a orientação de versionamento em [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md) e a orientação para usar um grupo de regras gerenciadas em um pacote de proteção (ACL da Web) em [Usando declarações de grupos de regras gerenciadas em AWS WAF](waf-rule-statement-type-managed-rule-group.md).

1. Na página **Adicionar grupos de regras gerenciadas**, escolha **Adicionar regras**. 

1. Na página **Definir prioridade da regra**, ajuste a ordem em que as regras são executadas conforme necessário e escolha **Salvar**. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

Na página do pacote de proteção (ACL da Web), os grupos de regras gerenciadas que você adicionou estão listados na guia **Regras**. 

Teste e ajuste todas as alterações em suas AWS WAF proteções antes de usá-las para tráfego de produção. Para mais informações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

# Como receber notificações sobre novas versões e atualizações de um grupo de regras gerenciadas
<a name="waf-using-managed-rule-groups-sns-topic"></a>

Esta seção explica como receber notificações do Amazon SNS sobre novas versões e atualizações.

Um provedor de grupos de regras gerenciadas usa notificações do SNS para anunciar alterações no grupo de regras, como novas versões futuras e atualizações de segurança urgentes. 

**Para assinar as notificações do SNS**  
Para se inscrever nas notificações de um grupo de regras, você cria uma assinatura do Amazon SNS para o ARN do tópico do Amazon SNS do grupo de regras na região Leste dos EUA (Norte da Virgínia) us-east-1. 

Para obter informações sobre como se inscrever, consulte o [Guia do desenvolvedor do Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/). 

**nota**  
Crie sua assinatura para o tópico do SNS somente na região us-east-1.

Todos os grupos de regras do AWS Managed Rules versionados usam o mesmo tópico do SNS Amazon Resource Name (ARN). Para obter mais informações sobre notificações de grupos de regras de regras AWS gerenciadas, consulte[Notificações de implantação](waf-managed-rule-groups-deployments-notifications.md).

**Onde encontrar o ARN do tópico do Amazon SNS para um grupo de regras gerenciadas**  
AWS Os grupos de regras de regras gerenciadas usam um único ARN de tópico do SNS, para que você possa recuperar o ARN do tópico de um dos grupos de regras e se inscrever nele para receber notificações de todos os grupos de regras de regras gerenciadas que fornecem notificações AWS do SNS. 
+ **Console** 
  + (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), escolha **Editar** para ver as informações do grupo de regras, o que inclui o ARN do tópico do Amazon SNS do grupo de regras. 
  + (Opção) Depois de adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), escolha **Editar** no pacote de proteção (ACL da Web) e, em seguida, selecione e edite a regra do grupo de regras para ver o ARN do tópico do Amazon SNS do grupo de regras. 
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope=<CLOUDFRONT|REGIONAL> --vendor-name <vendor> --name <managedrule_name>`

Para obter informações gerais sobre os formatos de notificação do Amazon SNS e como filtrar as notificações que você recebe, consulte [Análise de formatos de mensagens](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) e [Políticas de filtro de assinatura do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) no guia do desenvolvedor do Amazon Simple Notification Service. 

# Acompanhamento da expiração da versão de um grupo de regras
<a name="waf-using-managed-rule-groups-expiration"></a>

Esta seção explica como monitorar o agendamento de expiração para um grupo de regras gerenciadas por meio da Amazon CloudWatch.

Se você usa uma versão específica de um grupo de regras, certifique-se de não continuar usando uma versão após a data de expiração. 

**dica**  
Inscreva-se para receber notificações do Amazon SNS para grupos de regras gerenciados e mantenha-se atualizado com as versões de grupos de regras gerenciadas. Você se beneficiará da maioria das up-to-date proteções do grupo de regras e permanecerá antes da expiração. Para mais informações, consulte [Como receber notificações sobre novas versões e atualizações](waf-using-managed-rule-groups-sns-topic.md).

**Para monitorar o agendamento de expiração para um grupo de regras gerenciado por meio da Amazon CloudWatch**

1. Em CloudWatch, localize as métricas de expiração do seu grupo AWS WAF de regras gerenciadas. As métricas têm os seguintes nomes e dimensões de métricas: 
   + Nome da métrica: DaysToExpiry
   + Dimensões de métrica: Region, ManagedRuleGroup, Vendor e Version

   Se você tiver um grupo de regras gerenciadas no pacote de proteção (ACL da Web) que esteja avaliando o tráfego, você obterá uma métrica para isso. A métrica não está disponível para grupos de regras que você não usa. 

1. Defina um alarme para as métricas nas quais você está interessado, para que você seja notificado a tempo de mudar para uma versão mais recente do grupo de regras. 

Para obter informações sobre o uso de CloudWatch métricas da Amazon e a configuração de alarmes, consulte o Guia [ CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/). 

# Exemplo de configurações de grupos de regras gerenciadas em JSON e YAML
<a name="waf-using-managed-rule-groups-json-yaml"></a>

Esta seção fornece exemplos de configurações de grupos de regras gerenciadas.

As chamadas de API e CLI retornam uma lista de todas as regras no grupo de regras gerenciadas que você pode referenciar no modelo JSON ou por meio dele. AWS CloudFormation

**JSON**  
Você pode consultar e modificar grupos de regras gerenciadas dentro de uma instrução de regra usando JSON. A lista a seguir mostra o grupo de regras de regras AWS gerenciadas,`AWSManagedRulesCommonRuleSet`, no formato JSON. A especificação RuleActionOverrides lista uma regra cuja ação foi substituída por Count. 

```
{
    "Name": "AWS-AWSManagedRulesCommonRuleSet",
    "Priority": 0,
    "Statement": {
      "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesCommonRuleSet",
        "RuleActionOverrides": [                                                                                                                                            
          {                                                                                                                                                                
            "ActionToUse": {                                                                                                                                              
              "Count": {}                                                                                                                                                
            },                                                                                                                                                            
            "Name": "NoUserAgent_HEADER"                                                                                                                                 
          }                                                                                                                                                                
        ],
        "ExcludedRules": []
      }
    },
    "OverrideAction": {
      "None": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSManagedRulesCommonRuleSet"
    }
}
```

**YAML**  
Você pode consultar e modificar grupos de regras gerenciadas em uma instrução de regra usando o modelo YAML do CloudFormation . A lista a seguir mostra o grupo de regras de regras AWS gerenciadas`AWSManagedRulesCommonRuleSet`,, no CloudFormation modelo. A especificação RuleActionOverrides lista uma regra cuja ação foi substituída por Count. 

```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
  ManagedRuleGroupStatement:
    VendorName: AWS
    Name: AWSManagedRulesCommonRuleSet
    RuleActionOverrides:
    - ActionToUse:
        Count: {}
      Name: NoUserAgent_HEADER
    ExcludedRules: []
OverrideAction:
  None: {}
VisibilityConfig:
  SampledRequestsEnabled: true
  CloudWatchMetricsEnabled: true
  MetricName: AWS-AWSManagedRulesCommonRuleSet
```

# AWS Regras gerenciadas para AWS WAF
<a name="aws-managed-rule-groups"></a>

Esta seção explica para que AWS servem as Regras AWS WAF Gerenciadas.

AWS O Managed Rules for AWS WAF é um serviço gerenciado que fornece proteção contra vulnerabilidades de aplicativos ou outros tráfegos indesejados. Você tem a opção de selecionar um ou mais grupos de regras das Regras AWS gerenciadas para cada ACL da web, até o limite máximo da unidade de capacidade (WCU) do pacote de proteção (ACL da web). 

**Mitigação de falsos positivos e testes de mudanças no grupo de regras**  
Antes de usar qualquer grupo de regras gerenciadas na produção, teste-o em um ambiente que não seja de produção, conforme as orientações em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md). Siga as orientações de teste e ajuste ao adicionar um grupo de regras ao pacote de proteção (ACL da Web), para testar uma nova versão de um grupo de regras e sempre que um grupo de regras não gerenciar o tráfego da Web como necessário. 

**Responsabilidades de segurança compartilhadas**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Importante**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

# AWS Lista de grupos de regras de regras gerenciadas
<a name="aws-managed-rule-groups-list"></a>

Esta seção fornece uma lista dos grupos de regras de regras AWS gerenciadas disponíveis.

Esta seção descreve as versões mais recentes dos grupos de regras de regras AWS gerenciadas. Você as vê no console quando você adiciona um grupo de regras gerenciadas ao pacote de proteção (ACL da Web). Por meio da API, você pode recuperar essa lista junto com os grupos de AWS Marketplace regras nos quais está inscrito por meio de chamadas. `ListAvailableManagedRuleGroups` 

**nota**  
Para obter informações sobre como recuperar as versões de um grupo de regras de regras AWS gerenciadas, consulte[Recuperação das versões disponíveis para um grupo de regras gerenciadas](waf-using-managed-rule-groups-versions.md). 

Todos os grupos de regras de regras AWS gerenciadas oferecem suporte à rotulagem, e as listagens de regras nesta seção incluem especificações de etiquetas. Você pode recuperar os rótulos de um grupo de regras gerenciadas por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade AvailableLabels na resposta. Para saber mais sobre rotulagem, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

Teste e ajuste todas as alterações em suas AWS WAF proteções antes de usá-las para tráfego de produção. Para mais informações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**Contents**
+ [

# Grupos de regras de linha de base
](aws-managed-rule-groups-baseline.md)
  + [

## Grupo de regras gerenciadas do conjunto de regras principais (CRS)
](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)
  + [

## Grupo de regras gerenciadas de proteção administrativa
](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-admin)
  + [

## Grupo de regras gerenciadas de entradas nocivas conhecidas
](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)
+ [

# Grupos de regras específicos de caso de uso
](aws-managed-rule-groups-use-case.md)
  + [

## Grupo de regras gerenciadas do banco de dados SQL
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db)
  + [

## Grupo de regras gerenciadas do sistema operacional Linux
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os)
  + [

## Grupo de regras gerenciadas do sistema operacional POSIX
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)
  + [

## Grupo de regras gerenciadas do sistema operacional Windows
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os)
  + [

## Grupo de regras gerenciadas do aplicativo PHP
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)
  + [

## WordPress grupo de regras gerenciado por aplicativos
](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)
+ [

# Grupos de regras de reputação de IP
](aws-managed-rule-groups-ip-rep.md)
  + [

## Grupo de regras gerenciadas da lista de reputação de IPs da Amazon
](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon)
  + [

## Grupo de regras gerenciadas da lista de IPs anônimos
](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-anonymous)
+ [

# AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes
](aws-managed-rule-groups-acfp.md)
  + [

## Considerações sobre o uso deste grupo de regras
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-using)
  + [

## Rótulos adicionados por esse grupo de regras
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels)
    + [

### rótulos de token
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-token)
    + [

### rótulos do ACFP
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-labels-rg)
  + [

## Lista de regras de prevenção contra fraude na criação de contas
](aws-managed-rule-groups-acfp.md#aws-managed-rule-groups-acfp-rules)
+ [

# AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes
](aws-managed-rule-groups-atp.md)
  + [

## Considerações sobre o uso deste grupo de regras
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-using)
  + [

## Rótulos adicionados por esse grupo de regras
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels)
    + [

### rótulos de token
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-token)
    + [

### rótulos do ATP
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-labels-rg)
  + [

## Lista de regras de prevenção contra apropriação de contas
](aws-managed-rule-groups-atp.md#aws-managed-rule-groups-atp-rules)
+ [

# AWS WAF Grupo de regras do Bot Control
](aws-managed-rule-groups-bot.md)
  + [

## Níveis de proteção
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-prot-levels)
  + [

## Considerações sobre o uso deste grupo de regras
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-using)
  + [

## Rótulos adicionados por esse grupo de regras
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels)
    + [

### rótulos de token
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-token)
    + [

### Rótulos do Controle de Bots
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg)
  + [

## Lista de regras do Controle de Bots
](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules)
+ [

# AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)
](aws-managed-rule-groups-anti-ddos.md)
  + [

## Considerações sobre o uso deste grupo de regras
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-using)
  + [

## Rótulos adicionados por esse grupo de regras
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels)
    + [

### rótulos de token
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-token)
    + [

### Etiquetas DDo anti-S
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-labels-rg)
  + [

## Lista de regras DDo anti-S
](aws-managed-rule-groups-anti-ddos.md#aws-managed-rule-groups-anti-ddos-rules)

# Grupos de regras de linha de base
<a name="aws-managed-rule-groups-baseline"></a>

Os grupos de regras gerenciadas de linha de base fornecem proteção geral contra uma grande variedade de ameaças comuns. Escolha um ou mais desses grupos de regras para estabelecer a proteção da linha de base para seus recursos. 

## Grupo de regras gerenciadas do conjunto de regras principais (CRS)
<a name="aws-managed-rule-groups-baseline-crs"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesCommonRuleSet`, WCU: 700

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do conjunto de regras principais (CRS) contém regras que são aplicáveis de modo geral a aplicativos web. Isso fornece proteção contra a exploração de uma ampla gama de vulnerabilidades, incluindo algumas das vulnerabilidades comuns e de alto risco descritas em publicações do OWASP, como [OWASP Top 10](https://owasp.org/www-project-top-ten/).. Considere usar esse grupo de regras para qualquer caso de AWS WAF uso.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| NoUserAgent\$1HEADER |  Inspeciona as solicitações sem o cabeçalho HTTP `User-Agent`. Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:NoUserAgent_Header`  | 
| UserAgent\$1BadBots\$1HEADER |  Inspeciona valores de cabeçalho `User-Agent` comuns que indicam que a solicitação é um bot inválido. Os padrões de exemplo incluem `nessus` e `nmap`. Para gerenciamento de bots, consulte também [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:BadBots_Header`  | 
| SizeRestrictions\$1QUERYSTRING |  Inspeciona strings de consulta de URI com mais de 2.048 bytes.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_QueryString`  | 
| SizeRestrictions\$1Cookie\$1HEADER |  Inspeciona cabeçalhos de cookies com mais de 10.240 bytes.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Cookie_Header`  | 
| SizeRestrictions\$1BODY |  Inspeciona corpos de solicitação com mais de 8 KB (8.192 bytes).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_Body`  | 
| SizeRestrictions\$1URIPATH |  Inspeciona paths de URI com mais de 1.024 bytes.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:SizeRestrictions_URIPath`  | 
| EC2MetaDataSSRF\$1BODY |  Inspeciona tentativas de exfiltrar metadados Amazon EC2 do corpo da solicitação.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Body`  | 
| EC2MetaDataSSRF\$1COOKIE |  Inspeciona tentativas de exfiltrar metadados Amazon EC2 do cookie de solicitação.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_Cookie`  | 
| EC2MetaDataSSRF\$1URIPATH |  Amazon EC2Inspeciona tentativas de exfiltrar metadados do path do URI de solicitação.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_URIPath`  | 
| EC2MetaDataSSRF\$1QUERYARGUMENTS |  Inspeciona tentativas de exfiltrar metadados do Amazon EC2 dos argumentos da consulta de solicitação.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:EC2MetaDataSSRF_QueryArguments`  | 
| GenericLFI\$1QUERYARGUMENTS |  Inspeciona a presença de explorações de inclusão local de arquivos (LFI) nos argumentos de consulta. Exemplos incluem tentativas de path traversal usando técnicas como `../../`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericLFI_QueryArguments`  | 
| GenericLFI\$1URIPATH |  Inspeciona a presença de explorações de inclusão local de arquivos (LFI) no caminho do URI. Exemplos incluem tentativas de path traversal usando técnicas como `../../`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericLFI_URIPath`  | 
| GenericLFI\$1BODY |  Inspeciona a presença de explorações de inclusão local de arquivos (LFI) no corpo da solicitação. Exemplos incluem tentativas de path traversal usando técnicas como `../../`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericLFI_Body`  | 
| RestrictedExtensions\$1URIPATH |  Inspeciona as solicitações cujos caminhos de URI contêm extensões de arquivos do sistema que não são seguras para leitura ou execução. Os padrões de exemplo incluem extensões como `.log` e `.ini`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_URIPath`  | 
| RestrictedExtensions\$1QUERYARGUMENTS |  Inspeciona as solicitações cujos argumentos de consulta contêm extensões de arquivos do sistema que não são seguras para leitura ou execução. Os padrões de exemplo incluem extensões como `.log` e `.ini`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:RestrictedExtensions_QueryArguments`  | 
| GenericRFI\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da Web por meio da incorporação URLs que contém endereços. IPv4 Os exemplos incluem padrões como`http://`,`https://`,`ftp://`, e `ftps://``file://`, com um cabeçalho de IPv4 host na tentativa de exploração.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericRFI_QueryArguments`  | 
| GenericRFI\$1BODY |  Inspeciona o corpo da solicitação em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da Web por meio da incorporação URLs que contém endereços. IPv4 Os exemplos incluem padrões como`http://`,`https://`,`ftp://`, e `ftps://``file://`, com um cabeçalho de IPv4 host na tentativa de exploração.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericRFI_Body`  | 
| GenericRFI\$1URIPATH |  Inspeciona o caminho do URI em busca de tentativas de explorar a RFI (inclusão remota de arquivos) em aplicativos da Web por meio da incorporação URLs que contém endereços. IPv4 Os exemplos incluem padrões como`http://`,`https://`,`ftp://`, e `ftps://``file://`, com um cabeçalho de IPv4 host na tentativa de exploração.  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:GenericRFI_URIPath`  | 
| CrossSiteScripting\$1COOKIE |  Inspeciona os valores dos cabeçalhos de cookies em busca de padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Cookie`  | 
| CrossSiteScripting\$1QUERYARGUMENTS |  Inspeciona os valores dos argumentos de consulta para padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_QueryArguments`  | 
| CrossSiteScripting\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_Body`  | 
| CrossSiteScripting\$1URIPATH |  Inspeciona o valor do caminho do URI para padrões comuns de cross-site scripting (XSS) usando o integrado. AWS WAF [Instrução de regra de ataque de script entre sites](waf-rule-statement-type-xss-match.md) Os padrões de exemplo incluem scripts como `<script>alert("hello")</script>`.   Os detalhes da correspondência de regras nos AWS WAF registros não são preenchidos para a versão 2.0 desse grupo de regras.   Ação de regra: Block Rótulo: `awswaf:managed:aws:core-rule-set:CrossSiteScripting_URIPath`  | 

## Grupo de regras gerenciadas de proteção administrativa
<a name="aws-managed-rule-groups-baseline-admin"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesAdminProtectionRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras de proteção de administrador contém regras que permitem bloquear o acesso externo a páginas administrativas expostas. Isso poderá ser útil se você executar software de terceiros ou quiser reduzir o risco de um agente mal-intencionado obter acesso administrativo ao aplicativo.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| AdminProtection\$1URIPATH |  Inspeciona caminhos de URI que geralmente são reservados para a administração de um aplicativo ou servidor web. Os padrões de exemplo incluem `sqlmanager`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:admin-protection:AdminProtection_URIPath`  | 

## Grupo de regras gerenciadas de entradas nocivas conhecidas
<a name="aws-managed-rule-groups-baseline-known-bad-inputs"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesKnownBadInputsRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras de entradas nocivas conhecidas contém regras para bloquear padrões de solicitação conhecidos como inválidos e associados à exploração ou à descoberta de vulnerabilidades. Isso pode ajudar a reduzir o risco de um agente mal-intencionado descobrir um aplicativo vulnerável.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| JavaDeserializationRCE\$1HEADER |  Inspeciona as chaves e os valores dos cabeçalhos de solicitação HTTP em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Header`   | 
| JavaDeserializationRCE\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_Body`  | 
| JavaDeserializationRCE\$1URIPATH |  Inspeciona o URI da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_URIPath`  | 
| JavaDeserializationRCE\$1QUERYSTRING |  Inspeciona a string de consulta da solicitação em busca de padrões que indiquem tentativas de execução remota de comando (RCE) de desserialização de Java, como as vulnerabilidades do Spring Core e Cloud Function RCE (CVE-2022-22963, CVE-2022-22965). Os padrões de exemplo incluem `(java.lang.Runtime).getRuntime().exec("whoami")`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:JavaDeserializationRCE_QueryString`  | 
| Host\$1localhost\$1HEADER |  Inspeciona o cabeçalho do host na solicitação buscando padrões que indicam localhost. Os padrões de exemplo incluem `localhost`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Host_Localhost_Header`  | 
| PROPFIND\$1METHOD |  Inspeciona o método HTTP na solicitação buscando `PROPFIND`, que é um método semelhante ao `HEAD`, mas com a intenção adicional de exfiltrar objetos XML.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Propfind_Method`  | 
| ExploitablePaths\$1URIPATH |  Inspeciona o caminho do URI buscando tentativas de acessar caminhos de aplicativos web exploráveis. Os padrões de exemplo incluem caminhos como `web-inf`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:ExploitablePaths_URIPath`  | 
| Log4JRCE\$1HEADER |  Inspeciona as chaves e os valores dos cabeçalhos de solicitação quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Header`  | 
| Log4JRCE\$1QUERYSTRING |  Inspeciona as strings de consulta quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_QueryString`  | 
| Log4JRCE\$1BODY |  Inspeciona o corpo quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_Body`  | 
| Log4JRCE\$1URIPATH |  Inspeciona o caminho do URI quanto à presença da vulnerabilidade do Log4j ([CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228), [CVE-2021-45046](https://www.cve.org/CVERecord?id=CVE-2021-45046), [CVE-2021-45105](https://www.cve.org/CVERecord?id=CVE-2021-45105)) e protege contra tentativas de execução remota de código (RCE). Os padrões de exemplo incluem `${jndi:ldap://example.com/}`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:Log4JRCE_URIPath`  | 
| ReactJSRCE\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões que indiquem a presença de CVE-2025-55182.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para o Application Load Balancer e o AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e AWS Verified Access, o limite padrão é 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `CONTINUE` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:known-bad-inputs:ReactJSRCE_Body`  | 

# Grupos de regras específicos de caso de uso
<a name="aws-managed-rule-groups-use-case"></a>

Grupos de regras específicos para casos de uso fornecem proteção incremental para diversos AWS WAF casos de uso. Escolha os grupos de regras que se aplicam ao seu aplicativo. 

## Grupo de regras gerenciadas do banco de dados SQL
<a name="aws-managed-rule-groups-use-case-sql-db"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesSQLiRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do banco de dados SQL contém regras para bloquear padrões de solicitação associados à exploração de bancos de dados SQL, como ataques de injeção de SQL. Isso pode ajudar a evitar a injeção remota de consultas não autorizadas. Avalie esse grupo de regras para uso se o aplicativo fizer interface com um banco de dados SQL.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| SQLi\$1QUERYARGUMENTS |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar os valores de todos os parâmetros de consulta em busca de padrões que correspondam ao código SQL malicioso.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_QueryArguments`  | 
| SQLiExtendedPatterns\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta buscando padrões que correspondem ao código SQL mal-intencionado. Os padrões que essa regra inspeciona não são cobertos pelo `SQLi_QUERYARGUMENTS` da regra.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments`  | 
| SQLi\$1BODY |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar o corpo da solicitação em busca de padrões que correspondam ao código SQL malicioso.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_Body`  | 
| SQLiExtendedPatterns\$1BODY |  Inspeciona o corpo da solicitação em busca de padrões que correspondam ao código SQL malicioso. Os padrões que essa regra inspeciona não são cobertos pelo `SQLi_BODY` da regra.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLiExtendedPatterns_Body`  | 
| SQLi\$1COOKIE |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar os cabeçalhos dos cookies de solicitação em busca de padrões que correspondam ao código SQL malicioso.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_Cookie`  | 
| SQLi\$1URIPATH |  Usa o integrado AWS WAF [Instrução de regra de ataque de injeção de SQL](waf-rule-statement-type-sqli-match.md), com o nível de sensibilidade definido comoLow, para inspecionar os cabeçalhos dos cookies de solicitação em busca de padrões que correspondam ao código SQL malicioso.  Ação de regra: Block Rótulo: `awswaf:managed:aws:sql-database:SQLi_URIPath`  | 

## Grupo de regras gerenciadas do sistema operacional Linux
<a name="aws-managed-rule-groups-use-case-linux-os"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesLinuxRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do sistema operacional Linux contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas do Linux, incluindo ataques de inclusão local de arquivos (LFI) específicos do Linux. Isso pode ajudar a evitar ataques que expõem o conteúdo do arquivo ou executam código ao qual o invasor não deveria ter tido acesso. Você deve avaliar esse grupo de regras se qualquer parte do seu aplicativo for executado no Linux. Você deve usar esse grupo de regras com o grupo de regras [Sistema operacional POSIX](#aws-managed-rule-groups-use-case-posix-os).

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| LFI\$1URIPATH |  Inspeciona o caminho da solicitação buscando tentativas de explorar vulnerabilidades de inclusão local de arquivos (LFI) em aplicativos web. Os padrões de exemplo incluem arquivos como `/proc/version`, que podem fornecer informações do sistema operacional para invasores.  Ação de regra: Block Rótulo: `awswaf:managed:aws:linux-os:LFI_URIPath`  | 
| LFI\$1QUERYSTRING |  Inspeciona os valores de todas as sequências de consulta buscando tentativas de explorar vulnerabilidades de inclusão local de arquivos (LFI) em aplicativos web. Os padrões de exemplo incluem arquivos como `/proc/version`, que podem fornecer informações do sistema operacional para invasores.  Ação de regra: Block Rótulo: `awswaf:managed:aws:linux-os:LFI_QueryString`  | 
| LFI\$1HEADER |  Inspeciona o corpo da solicitação buscando tentativas de explorar vulnerabilidades de inclusão local de arquivos (LFI) em aplicativos web. Os padrões de exemplo incluem arquivos como `/proc/version`, que podem fornecer informações do sistema operacional para invasores.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:linux-os:LFI_Header`  | 

## Grupo de regras gerenciadas do sistema operacional POSIX
<a name="aws-managed-rule-groups-use-case-posix-os"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesUnixRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do sistema operacional POSIX contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas para sistemas operacionais POSIX e semelhantes, incluindo ataques de inclusão local de arquivos (LFI). Isso pode ajudar a evitar ataques que expõem o conteúdo do arquivo ou executam código ao qual o invasor não deveria ter tido acesso. Você deverá avaliar esse grupo de regras se qualquer parte do aplicativo for executada em um sistema operacional POSIX ou semelhante, incluindo Linux, AIX, HP-UX, macOS, Solaris, FreeBSD e OpenBSD. 

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| UNIXShellCommandsVariables\$1QUERYSTRING |  Inspeciona os valores das strings de consulta buscando tentativas de explorar vulnerabilidades de injeção de comando, de LFI e de path traversal em aplicativos web executados em sistemas Unix. Exemplos incluem padrões como `echo $HOME` e `echo $PATH`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`  | 
| UNIXShellCommandsVariables\$1BODY |  Inspeciona o corpo da solicitação buscando tentativas de explorar vulnerabilidades de injeção de comando, LFI e path traversal em aplicativos web executados em sistemas Unix. Exemplos incluem padrões como `echo $HOME` e `echo $PATH`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Body`  | 
| UNIXShellCommandsVariables\$1HEADER |  Inspeciona todos os cabeçalhos de solicitação para explorar vulnerabilidades de injeção de comando, de LFI e de path traversal em aplicativos web executados em sistemas Unix. Exemplos incluem padrões como `echo $HOME` e `echo $PATH`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_Header`  | 

## Grupo de regras gerenciadas do sistema operacional Windows
<a name="aws-managed-rule-groups-use-case-windows-os"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesWindowsRuleSet`, WCU: 200

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do sistema operacional Windows contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas do Windows, como a execução remota de PowerShell comandos. Isso pode ajudar a impedir a exploração de vulnerabilidades que permitem que um invasor execute comandos não autorizados ou códigos mal-intencionados. Avalie esse grupo de regras se alguma parte do seu aplicativo for executada em um sistema operacional Windows.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| WindowsShellCommands\$1COOKIE |  Inspeciona os cabeçalhos do cookie de solicitação em busca de tentativas de injeção de WindowsShell comando em aplicativos da web. Os padrões de correspondência representam WindowsShell comandos. Os padrões de exemplo incluem `\|\|nslookup` e `;cmd`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:WindowsShellCommands_Cookie`   | 
| WindowsShellCommands\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta para tentativas de injeção de WindowsShell comando em aplicativos web. Os padrões de correspondência representam WindowsShell comandos. Os padrões de exemplo incluem `\|\|nslookup` e `;cmd`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:WindowsShellCommands_QueryArguments`   | 
| WindowsShellCommands\$1BODY |  Inspeciona o corpo da solicitação em busca de tentativas de injeção de WindowsShell comando em aplicativos da web. Os padrões de correspondência representam WindowsShell comandos. Os padrões de exemplo incluem `\|\|nslookup` e `;cmd`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:WindowsShellCommands_Body`   | 
| PowerShellCommands\$1COOKIE |  Inspeciona os cabeçalhos do cookie de solicitação em busca de tentativas de injeção de PowerShell comando em aplicativos da web. Os padrões de correspondência representam PowerShell comandos. Por exemplo, .`Invoke-Expression`  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:PowerShellCommands_Cookie`  | 
| PowerShellCommands\$1QUERYARGUMENTS |  Inspeciona os valores de todos os parâmetros de consulta para tentativas de injeção de PowerShell comando em aplicativos web. Os padrões de correspondência representam PowerShell comandos. Por exemplo, .`Invoke-Expression`  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:PowerShellCommands_QueryArguments`  | 
| PowerShellCommands\$1BODY |  Inspeciona o corpo da solicitação em busca de tentativas de injeção de PowerShell comando em aplicativos da web. Os padrões de correspondência representam PowerShell comandos. Por exemplo, .`Invoke-Expression`  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:windows-os:PowerShellCommands_Body`   | 

## Grupo de regras gerenciadas do aplicativo PHP
<a name="aws-managed-rule-groups-use-case-php-app"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesPHPRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do aplicativo PHP contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas para o uso da linguagem de programação PHP, incluindo injeção de funções PHP não seguras. Isso pode ajudar a impedir a exploração de vulnerabilidades que permitem que um invasor execute código ou comandos remotamente para os quais ele não está autorizado. Avalie este grupo de regras se o PHP estiver instalado em qualquer servidor com o qual seu aplicativo interage.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| PHPHighRiskMethodsVariables\$1HEADER |  Inspeciona todos os cabeçalhos buscando tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Essa regra inspeciona somente os primeiros 8 KB dos cabeçalhos da solicitação ou os primeiros 200 cabeçalhos, qualquer que seja o limite atingido primeiro, e usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Header`  | 
| PHPHighRiskMethodsVariables\$1QUERYSTRING |  Inspeciona tudo depois do primeiro `?` na URL da solicitação, procurando por tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_QueryString`  | 
| PHPHighRiskMethodsVariables\$1BODY |  Inspeciona os valores do corpo da solicitação buscando tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Essa regra inspeciona apenas o corpo da solicitação até o limite de tamanho do corpo para o pacote de proteção (ACL da Web) e o tipo de recurso. Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB. Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB e você pode aumentar o limite até 64 KB na configuração do pacote de proteção (web ACL). Essa regra usa a opção `Continue` para tratamento de conteúdo de tamanho grande. Para obter mais informações, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_Body`  | 
| PHPHighRiskMethodsVariables\$1URIPATH |  Inspeciona o caminho da solicitação para tentativas de injeção de código de script PHP. Os padrões de exemplo incluem funções como `fsockopen` e a variável superglobal `$_GET`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:php-app:PHPHighRiskMethodsVariables_URIPath`  | 

## WordPress grupo de regras gerenciado por aplicativos
<a name="aws-managed-rule-groups-use-case-wordpress-app"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesWordPressRuleSet`, WCU: 100

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras do WordPress aplicativo contém regras que bloqueiam padrões de solicitação associados à exploração de vulnerabilidades específicas dos WordPress sites. Você deve avaliar esse grupo de regras se estiver executandoWordPress. Esse grupo de regras deve ser usado com os grupos de regras [Banco de dados SQL](#aws-managed-rule-groups-use-case-sql-db) e [Aplicativo PHP](#aws-managed-rule-groups-use-case-php-app).

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| WordPressExploitableCommands\$1QUERYSTRING |  Inspeciona a string de consulta da solicitação em busca de WordPress comandos de alto risco que possam ser explorados em instalações ou plug-ins vulneráveis. Os padrões de exemplo incluem comandos como `do-reset-wordpress`.  Ação de regra: Block Rótulo: `awswaf:managed:aws:wordpress-app:WordPressExploitableCommands_QUERYSTRING`  | 
| WordPressExploitablePaths\$1URIPATH |  Inspeciona o caminho do URI da solicitação para WordPress arquivos como`xmlrpc.php`, que são conhecidos por terem vulnerabilidades facilmente exploráveis.  Ação de regra: Block Rótulo: `awswaf:managed:aws:wordpress-app:WordPressExploitablePaths_URIPATH`  | 

# Grupos de regras de reputação de IP
<a name="aws-managed-rule-groups-ip-rep"></a>

Os grupos de regras de reputação de IP bloqueiam solicitações com base em seu endereço IP de origem. 

**nota**  
Essas regras usam o endereço IP de origem da solicitação da web. Se você tiver tráfego que passa por um ou mais proxies ou balanceadores de carga, a origem da solicitação da web conterá o endereço do último proxy, e não o endereço de origem do cliente. 

Escolha um ou mais desses grupos de regras se quiser reduzir sua exposição ao tráfego de bot e a tentativas de exploração ou se estiver aplicando restrições geográficas ao seu conteúdo. Para gerenciamento de bots, consulte também [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).

Os grupos de regras nessa categoria não fornecem notificações de versionamento ou atualização do SNS. 

## Grupo de regras gerenciadas da lista de reputação de IPs da Amazon
<a name="aws-managed-rule-groups-ip-rep-amazon"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesAmazonIpReputationList`, WCU: 25

**nota**  
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras da lista de reputação de IP da Amazon contém regras baseadas na inteligência de ameaças internas da Amazon. Isso é útil se você quiser bloquear endereços IP normalmente associados a bots ou outras ameaças. Bloquear esses endereços IP pode ajudar a diminuir bots e reduzir o risco de um agente mal-intencionado descobrir um aplicativo vulnerável.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| AWSManagedIPReputationList |  Inspeciona os endereços IP que foram identificados como ativamente envolvidos em atividades maliciosas. AWS WAF coleta a lista de endereços IP de várias fontes MadPot, incluindo uma ferramenta de inteligência contra ameaças que a Amazon usa para proteger os clientes contra crimes cibernéticos. Para obter mais informações sobre MadPot, consulte[https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime](https://www.aboutamazon.com/news/aws/amazon-madpot-stops-cybersecurity-crime). Ação de regra: Block Rótulo: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPReputationList`  | 
| AWSManagedReconnaissanceList |  Inspeciona as conexões de endereços IP que estão realizando reconhecimento em relação aos recursos da AWS .  Ação de regra: Block Rótulo: `awswaf:managed:aws:amazon-ip-list:AWSManagedReconnaissanceList`  | 
| AWSManagedIPDDoSList |  Inspeciona os endereços IP que foram identificados como ativamente envolvidos nas atividades DDo de S.  Ação de regra: Count Rótulo: `awswaf:managed:aws:amazon-ip-list:AWSManagedIPDDoSList`  | 

## Grupo de regras gerenciadas da lista de IPs anônimos
<a name="aws-managed-rule-groups-ip-rep-anonymous"></a>

VendorName:`AWS`, Nome:`AWSManagedRulesAnonymousIpList`, WCU: 50

**nota**  
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

Esse grupo de regras da lista de IPs anônimos contém regras para bloquear solicitações de serviços que permitem a ofuscação da identidade do visualizador. Isso inclui solicitações deVPNs, proxies, nós Tor e provedores de hospedagem na web. Esse grupo de regras é útil se você quiser filtrar visualizadores que podem estar tentando ocultar a identidade do seu aplicativo. Bloquear os endereços IP desses serviços pode ajudar a mitigar bots e evasão de restrições geográficas.

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| AnonymousIPList |  Inspeciona buscando uma lista de endereços IP de fontes conhecidas por anonimizar informações de clientes, como nós TOR, proxies temporários e outros serviços de mascaramento.  Ação de regra: Block Rótulo: `awswaf:managed:aws:anonymous-ip-list:AnonymousIPList`  | 
| HostingProviderIPList | Inspeciona buscando uma lista de endereços IP de provedores de nuvem e de hospedagem, que são menos propensos a gerar tráfego de usuário final. A lista de IPs não inclui endereços AWS IP. Ação de regra: Block Rótulo: `awswaf:managed:aws:anonymous-ip-list:HostingProviderIPList` | 

# AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes
<a name="aws-managed-rule-groups-acfp"></a>

Esta seção explica o que o AWS WAF grupo de regras gerenciadas de prevenção de fraudes na criação de contas (ACFP) do Fraud Control faz.

VendorName:`AWS`, Nome:`AWSManagedRulesACFPRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O AWS WAF grupo de regras gerenciado para prevenção de fraudes na criação de contas (ACFP) do Fraud Control rotula e gerencia solicitações que podem fazer parte de tentativas fraudulentas de criação de contas. O grupo de regras faz isso inspecionando as solicitações de criação de conta que os clientes enviam para os endpoints de registro e criação de conta do seu aplicativo. 

O grupo de regras do ACFP inspeciona as tentativas de criação de contas de várias maneiras, para oferecer visibilidade e controle sobre interações potencialmente maliciosas. O grupo de regras usa tokens de solicitação para coletar informações sobre o navegador do cliente e sobre o nível de interatividade humana na criação da solicitação de criação da conta. O grupo de regras detecta e gerencia as tentativas de criação de contas em massa agregando solicitações por endereço IP e sessão do cliente e agregando pelas informações fornecidas da conta, como endereço físico e número de telefone. Além disso, o grupo de regras detecta e bloqueia a criação de novas contas usando credenciais que foram comprometidas, o que ajuda a proteger a postura de segurança de seu aplicativo e de seus novos usuários. 

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-acfp-using"></a>

Este grupo de regras requer uma configuração personalizada, que inclui a especificação dos caminhos de registro da conta e de criação da conta da aplicação. Exceto onde indicado, as regras desse grupo de regras inspecionam todas as solicitações que seus clientes enviam para esses dois endpoints. Para configurar e implementar esse grupo de regras, consulte a orientação em [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md). 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

Esse grupo de regras não está disponível para uso com grupos de usuários do Amazon Cognito. Você não pode associar um pacote de proteção (ACL da Web) que usa esse grupo de regras a um grupo de usuários nem adicionar esse grupo de regras a um pacote de proteção (ACL da Web) já esteja associado a um grupo de usuários.

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-acfp-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-acfp-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### rótulos do ACFP
<a name="aws-managed-rule-groups-acfp-labels-rg"></a>

Esse grupo de regras gera rótulos com o prefixo do namespace `awswaf:managed:aws:acfp:` seguido pelo namespace personalizado e pelo nome do rótulo. O grupo de regras pode adicionar mais de um rótulo a uma solicitação. 

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

## Lista de regras de prevenção contra fraude na criação de contas
<a name="aws-managed-rule-groups-acfp-rules"></a>

Esta seção lista as regras de ACFP em `AWSManagedRulesACFPRuleSet` e os rótulos que as regras do grupo de regras adicionam às solicitações da Web.

Todas as regras desse grupo de regras exigem um token de solicitação da web, exceto `UnsupportedCognitoIDP` e `AllRequests` das duas primeiras. Para obter uma descrição das informações que o token fornece, consulte [AWS WAF características do token](waf-tokens-details.md). 

Exceto onde indicado, as regras desse grupo de regras inspecionam todas as solicitações que seus clientes enviam para os caminhos da página de registro e criação de conta que você fornece na configuração do grupo de regras. Para saber mais sobre como configurar esse grupo de regras, consulte [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md). 

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| UnsupportedCognitoIDP |  Inspeciona o tráfego da web que vai para um grupo de usuários do Amazon Cognito. O ACFP não está disponível para uso com grupos de usuários do Amazon Cognito, e essa regra ajuda a garantir que as outras regras do grupo de regras do ACFP não sejam usadas para avaliar o tráfego de grupos de usuários. Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:unsupported:cognito_idp` e `awswaf:managed:aws:acfp:UnsupportedCognitoIDP`   | 
| AllRequests |  Aplica a ação de regra às solicitações que acessam o caminho da página de registro. Você configura o caminho da página de registro ao configurar o grupo de regras.  Por padrão, essa regra se aplica às solicitações Challenge. Ao aplicar essa ação, a regra garante que o cliente adquira um token de desafio antes que qualquer solicitação seja avaliada pelo restante das regras no grupo de regras.  Certifique-se de que seus usuários finais carreguem o caminho da página de registro antes de enviarem uma solicitação de criação de conta.  Os tokens são adicionados às solicitações pela integração do aplicativo cliente SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter a aquisição mais eficiente de tokens, é altamente recomendável que você use a integração de aplicativos SDKs. Para obter mais informações, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).  Ação de regra: Challenge Rótulos: nenhum  | 
| RiskScoreHigh |  Inspeciona solicitações de criação de conta com endereços IP ou outros fatores considerados altamente suspeitos. Essa avaliação geralmente é baseada em vários fatores contribuintes, que você pode ver nos rótulos `risk_score` que o grupo de regras adiciona à solicitação. Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:risk_score:high` e `awswaf:managed:aws:acfp:RiskScoreHigh`  A regra também pode aplicar rótulos de pontuação de risco `medium` ou `low` à solicitação.  Se AWS WAF não conseguir avaliar a pontuação de risco da solicitação da web, a regra adiciona o rótulo `awswaf:managed:aws:acfp:risk_score:evaluation_failed ` Além disso, a regra adiciona rótulos com o `awswaf:managed:aws:acfp:risk_score:contributor:` do namespace que incluem o status e os resultados da avaliação da pontuação de risco para contribuidores específicos da pontuação de risco, como avaliações de reputação de IP e credenciais roubadas.  | 
| SignalCredentialCompromised |  Pesquisa no banco de dados de credenciais roubadas as credenciais que foram enviadas na solicitação de criação da conta.  Essa regra garante que novos clientes inicializem suas contas com uma postura de segurança positiva.   Você pode adicionar uma resposta de bloqueio personalizada para descrever o problema para o usuário final e dizer a ele como proceder. Para mais informações, consulte [Exemplo de ACFP: resposta personalizada para credenciais comprometidas](waf-acfp-control-example-compromised-credentials.md).  Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:signal:credential_compromised` e `awswaf:managed:aws:acfp:SignalCredentialCompromised`  O grupo de regras aplica o rótulo relacionado a seguir, mas não executa nenhuma ação, pois nem todas as solicitações na criação da conta terão credenciais: `awswaf:managed:aws:acfp:signal:missing_credential`  | 
| SignalClientHumanInteractivityAbsentLow |  Inspeciona o token da solicitação de criação de conta em busca de dados que indiquem interatividade humana anormal com o aplicativo. A interatividade humana é detectada por meio de interações como movimentos do mouse e pressionamentos de teclas. Se a página tiver um formulário HTML, a interatividade humana incluirá interações com o formulário.   Essa regra só inspeciona as solicitações para o caminho de criação da conta e só é avaliada se você tiver implementado a integração SDKs do aplicativo. As implementações de SDK capturam passivamente a interatividade humana e armazenam as informações no token de solicitação. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md) e [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).  Ação da regra: CAPTCHA Rótulos: nenhum. A regra determina uma correspondência com base em vários fatores, portanto, não há um rótulo individual que se aplique a todos os cenários de correspondência possíveis. O grupo de regras pode aplicar um ou mais dos rótulos a seguir às solicitações:  `awswaf:managed:aws:acfp:signal:client:human_interactivity:low\|medium\|high` `awswaf:managed:aws:acfp:SignalClientHumanInteractivityAbsentLow\|Medium\|High`  `awswaf:managed:aws:acfp:signal:client:human_interactivity:insufficient_data`  `awswaf:managed:aws:acfp:signal:form_detected`.  | 
| AutomatedBrowser |  Inspeciona indicadores de que o navegador do cliente pode ser automatizado.  Ação da regra: Block  Rótulos: `awswaf:managed:aws:acfp:signal:automated_browser` e `awswaf:managed:aws:acfp:AutomatedBrowser`  | 
| BrowserInconsistency |  Inspeciona o token da solicitação em busca de dados inconsistentes de interrogação do navegador. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:acfp:signal:browser_inconsistency` e `awswaf:managed:aws:acfp:BrowserInconsistency`  | 
| VolumetricIpHigh |  Inspeciona grandes volumes de solicitações de criação de contas enviadas de endereços IP individuais. Um volume alto é de mais de 20 solicitações em uma janela de 10 minutos.  Os limites aplicados por essa regra podem variar um pouco devido à latência. Para o alto volume, algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.  Ação da regra: CAPTCHA Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:high` e `awswaf:managed:aws:acfp:VolumetricIpHigh`  A regra aplica os seguintes rótulos às solicitações com volumes médios (mais de 15 solicitações por janela de 10 minutos) e volumes baixos (mais de 10 solicitações por janela de 10 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:medium` e `awswaf:managed:aws:acfp:aggregate:volumetric:ip:creation:low`.  | 
| VolumetricSessionHigh |  Inspeciona grandes volumes de solicitações de criação de contas enviadas de sessões individuais de clientes. Um volume alto é de mais de 10 solicitações em uma janela de 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:high` e `awswaf:managed:aws:acfp:VolumetricSessionHigh`  O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:medium` e `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:low`.  | 
| AttributeUsernameTraversalHigh |  Inspeciona uma alta taxa de solicitações de criação de contas de uma única sessão de cliente que usa nomes de usuário diferentes. O limite para uma avaliação alta é de mais de 10 solicitações em 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:high` e `awswaf:managed:aws:acfp:AttributeUsernameTraversalHigh`  O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos) de solicitações transversais de nome de usuário, mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:medium` e `awswaf:managed:aws:acfp:aggregate:attribute:username_traversal:creation:low`.  | 
| VolumetricPhoneNumberHigh |  Inspeciona grandes volumes de solicitações de criação de contas que usam o mesmo número de telefone. O limite para uma avaliação alta é de mais de 10 solicitações em 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:high` e `awswaf:managed:aws:acfp:VolumetricPhoneNumberHigh` O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 5 solicitações por janela de 30 minutos) e volumes baixos (mais de 1 solicitação por janela de 30 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:medium` e `awswaf:managed:aws:acfp:aggregate:volumetric:phone_number:low`.  | 
| VolumetricAddressHigh |  Inspeciona grandes volumes de solicitações de criação de contas que usam o mesmo endereço físico. O limite para uma avaliação alta é de mais de 100 solicitações em 30 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:address:high` e `awswaf:managed:aws:acfp:VolumetricAddressHigh`   | 
| VolumetricAddressLow |  Inspeciona volumes de solicitações baixos e médios de criação de contas que usam o mesmo endereço físico. O limite para uma avaliação média é de mais de 50 solicitações por janela de 30 minutos, e para uma avaliação baixa é de mais de 10 solicitações por janela de 30 minutos.  A regra aplica a ação para volumes médios ou baixos.  Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: CAPTCHA Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:address:low\|medium` e `awswaf:managed:aws:acfp:VolumetricAddressLow\|Medium`   | 
| VolumetricIPSuccessfulResponse |  Inspeciona um grande volume de solicitações bem-sucedidas de criação de conta para um único endereço IP. Essa regra agrega respostas bem-sucedidas do recurso protegido às solicitações de criação de conta. O limite para uma avaliação alta é de mais de 10 solicitações em 10 minutos.  Essa regra ajuda a proteger contra tentativas de criação de contas em massa. Ele tem um limite menor do que o `VolumetricIpHigh` da regra, que conta apenas as solicitações.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login do mesmo endereço IP. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront .   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas bem-sucedidas de criação de conta do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:high` e `awswaf:managed:aws:acfp:VolumetricIPSuccessfulResponse`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 10 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:medium` para mais de 5 solicitações bem-sucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:successful_creation_response:low` para mais de 1 solicitação bem-sucedida, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:high` para mais de 10 solicitações malsucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:medium` para mais de 5 solicitações malsucedidas e `awswaf:managed:aws:acfp:aggregate:volumetric:ip:failed_creation_response:low` para mais de 1 solicitação malsucedida.   | 
| VolumetricSessionSuccessfulResponse |  Inspeciona um baixo volume de respostas bem-sucedidas do recurso protegido às solicitações de criação de conta que estão sendo enviadas de uma única sessão do cliente. Essa regra ajuda a proteger contra tentativas de criação de contas em massa. O limite para uma avaliação alta é de mais de 1 solicitação em 30 minutos.  Isso ajuda a proteger contra tentativas de criação de contas em massa. Essa regra usa um limite inferior ao da regra `VolumetricSessionHigh`, que acompanha somente as solicitações.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login da mesma sessão de cliente. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront .   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de criação de conta do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Ação da regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:low` e `awswaf:managed:aws:acfp:VolumetricSessionSuccessfulResponse`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações. Todas as contagens são para uma janela de 30 minutos. `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:medium` para mais de 5 solicitações bem-sucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:high` para mais de 10 solicitações malsucedidas, `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:medium` para mais de 5 solicitações malsucedidas e `awswaf:managed:aws:acfp:aggregate:volumetric:session:failed_creation_response:low` para mais de 1 solicitação malsucedida.   | 
| VolumetricSessionTokenReuseIp |  Inspeciona as solicitações de criação de conta para o uso de um único token entre mais de 5 endereços IP distintos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:acfp:aggregate:volumetric:session:creation:token_reuse:ip` e `awswaf:managed:aws:acfp:VolumetricSessionTokenReuseIp`  | 

# AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes
<a name="aws-managed-rule-groups-atp"></a>

Esta seção explica o que o grupo de regras gerenciadas de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control faz.

VendorName:`AWS`, Nome:`AWSManagedRulesATPRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras gerenciado de prevenção de invasão de contas (ATP) do AWS WAF Fraud Control rotula e gerencia solicitações que podem fazer parte de tentativas maliciosas de invasão de contas. O grupo de regras faz isso inspecionando as tentativas de login que os clientes enviam para o endpoint de login do seu aplicativo. 
+ **Inspeção de solicitações**: o ATP oferece visibilidade e controle sobre tentativas de login anômalas e tentativas de login que usam credenciais roubadas, para evitar apropriações de contas que possam levar a atividades fraudulentas. O ATP verifica as combinações de e-mail e senha em seu banco de dados de credenciais roubadas, que é atualizado regularmente à medida que novas credenciais vazadas são encontradas na dark web. O ATP agrega dados por endereço IP e sessão do cliente, para detectar e bloquear clientes que enviam muitas solicitações de natureza suspeita. 
+ **Inspeção de resposta** — Para CloudFront distribuições, além de inspecionar as solicitações de login recebidas, o grupo de regras ATP inspeciona as respostas do seu aplicativo às tentativas de login, para monitorar as taxas de sucesso e falha. Usando essas informações, o ATP pode bloquear temporariamente sessões de clientes ou endereços IP que tenham muitas falhas de login. O AWS WAF executa a inspeção de resposta de forma assíncrona, para que isso não aumente a latência no tráfego da web. 

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-atp-using"></a>

Esse grupo de regras exige uma configuração específica. Para configurar e implementar esse grupo de regras, consulte a orientação em [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md). 

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

Esse grupo de regras não está disponível para uso com grupos de usuários do Amazon Cognito. Você não pode associar um pacote de proteção (ACL da Web) que usa esse grupo de regras a um grupo de usuários nem adicionar esse grupo de regras a um pacote de proteção (ACL da Web) já esteja associado a um grupo de usuários.

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-atp-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras que são executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-atp-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### rótulos do ATP
<a name="aws-managed-rule-groups-atp-labels-rg"></a>

O grupo de regras gerenciadas do ATP gera rótulos com o `awswaf:managed:aws:atp:` do prefixo do namespace seguido pelo namespace personalizado e pelo nome do rótulo. 

O grupo de regras pode adicionar qualquer um dos rótulos a seguir, além dos rótulos indicados na lista de regras:
+ `awswaf:managed:aws:atp:signal:credential_compromised`: indica que as credenciais enviadas na solicitação estão no banco de dados de credenciais roubadas. 
+ `awswaf:managed:aws:atp:aggregate:attribute:suspicious_tls_fingerprint`— Disponível somente para CloudFront distribuições protegidas da Amazon. Indica que uma sessão do cliente enviou várias solicitações que usaram uma impressão digital TLS suspeita. 
+ `awswaf:managed:aws:atp:aggregate:volumetric:session:token_reuse:ip`: indica o uso de um único token entre mais de 5 endereços IP distintos. Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que o rótulo seja aplicado. 

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

## Lista de regras de prevenção contra apropriação de contas
<a name="aws-managed-rule-groups-atp-rules"></a>

Esta seção lista as regras de ATP em `AWSManagedRulesATPRuleSet` e os rótulos que as regras do grupo de regras adicionam às solicitações da Web.

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Nome da regra | Descrição e rótulo | 
| --- | --- | 
| UnsupportedCognitoIDP | Inspeciona o tráfego da web que vai para um grupo de usuários do Amazon Cognito. O ATP não está disponível para uso com grupos de usuários do Amazon Cognito, e essa regra ajuda a garantir que as outras regras do grupo de regras do ATP não sejam usadas para avaliar o tráfego de grupos de usuários. Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:unsupported:cognito_idp` e `awswaf:managed:aws:atp:UnsupportedCognitoIDP`   | 
| VolumetricIpHigh | Inspeciona grandes volumes de solicitações de criação de contas enviadas de endereços IP individuais. Um volume alto é de mais de 20 solicitações em uma janela de 10 minutos.   Os limites aplicados por essa regra podem variar um pouco devido à latência. Para o alto volume, algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:ip:high` e `awswaf:managed:aws:atp:VolumetricIpHigh`  O grupo de regras aplica os seguintes rótulos às solicitações com volumes médios (mais de 15 solicitações por janela de 10 minutos) e volumes baixos (mais de 10 solicitações por janela de 10 minutos), mas não executa nenhuma ação em relação a elas: `awswaf:managed:aws:atp:aggregate:volumetric:ip:medium` e `awswaf:managed:aws:atp:aggregate:volumetric:ip:low`. | 
| VolumetricSession |  Inspeciona grandes volumes de solicitações de criação de contas enviadas de sessões de clientes individuais. O limite é de mais de 20 solicitações em 30 minutos.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Os limites aplicados por essa regra podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:session` e `awswaf:managed:aws:atp:VolumetricSession`   | 
| AttributeCompromisedCredentials |  Inspeciona várias solicitações da mesma sessão do cliente que usam credenciais roubadas.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials` e `awswaf:managed:aws:atp:AttributeCompromisedCredentials`   | 
| AttributeUsernameTraversal |  Inspeciona várias solicitações da mesma sessão do cliente que usam traversal de nome de usuário.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:username_traversal` e `awswaf:managed:aws:atp:AttributeUsernameTraversal`   | 
| AttributePasswordTraversal |  Inspeciona várias solicitações com o mesmo nome do usuário que usam traversal de senha.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:password_traversal` e `awswaf:managed:aws:atp:AttributePasswordTraversal`   | 
| AttributeLongSession |  Inspeciona várias solicitações da mesma sessão do cliente que usam solicitações de longa duração. O limite é de mais de 6 horas de tráfego com pelo menos uma solicitação de login a cada 30 minutos. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:attribute:long_session` e `awswaf:managed:aws:atp:AttributeLongSession`   | 
| TokenRejected |  Inspeciona solicitações com tokens que foram rejeitados pelo gerenciamento de AWS WAF tokens.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: Block Rótulos: nenhum. Para verificar se o token foi rejeitado, use uma regra de correspondência de rótulo para corresponder ao rótulo: `awswaf:managed:token:rejected`.   | 
| SignalMissingCredential |  Inspeciona solicitações com credenciais sem o nome de usuário ou a senha.  Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:signal:missing_credential` e `awswaf:managed:aws:atp:SignalMissingCredential`   | 
| VolumetricIpFailedLoginResponseHigh |  Inspeciona endereços IP que recentemente foram a fonte de uma taxa muito alta de tentativas de login malsucedidas. Um volume alto é de mais de 10 solicitações de login mal sucedidas de um endereço IP em uma janela de 10 minutos.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login do mesmo endereço IP. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront.   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de login do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Ação da regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` e `awswaf:managed:aws:atp:VolumetricIpFailedLoginResponseHigh`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 10 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:medium` para mais de 5 solicitações malsucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:low` para mais de 1 solicitação malsucedida, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:medium` para mais de 5 solicitações bem-sucedidas e `awswaf:managed:aws:atp:aggregate:volumetric:ip:successful_login_response:low` para mais de 1 solicitação bem-sucedida.   | 
| VolumetricSessionFailedLoginResponseHigh |  Inspeciona sessões de clientes que recentemente foram a fonte de uma taxa muito alta de tentativas de login malsucedidas. Um volume alto é mais de 10 solicitações de login malsucedidas de uma sessão de cliente em uma janela de 30 minutos.  Se você configurou o grupo de regras para inspecionar o corpo da resposta ou os componentes JSON, AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) desses tipos de componentes em busca de indicadores de sucesso ou falha.  Essa regra aplica a ação e a rotulagem da regra a novas solicitações da web de um endereço IP, com base nas respostas de sucesso e falha do recurso protegido às recentes tentativas de login da mesma sessão de cliente. Você define como contar os sucessos e as falhas ao configurar o grupo de regras.   AWS WAF avalia essa regra somente em pacotes de proteção (web ACLs) que protegem as distribuições da Amazon CloudFront .   Os limites aplicados por essa regra podem variar um pouco devido à latência. É possível que o cliente envie mais tentativas mal sucedidas de login do que as permitidas antes que a regra comece a corresponder às tentativas subsequentes.   Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: Block Rótulos: `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:high` e `awswaf:managed:aws:atp:VolumetricSessionFailedLoginResponseHigh`  O grupo de regras também aplica os seguintes rótulos relacionados às solicitações, sem nenhuma ação associada. Todas as contagens são para uma janela de 30 minutos. `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:medium` para mais de 5 solicitações malsucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:session:failed_login_response:low` para mais de 1 solicitação malsucedida, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:high` para mais de 10 solicitações bem-sucedidas, `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:medium` para mais de 5 solicitações bem-sucedidas e `awswaf:managed:aws:atp:aggregate:volumetric:session:successful_login_response:low` para mais de 1 solicitação bem-sucedida.   | 

# AWS WAF Grupo de regras do Bot Control
<a name="aws-managed-rule-groups-bot"></a>

Esta seção explica o que o grupo de regras gerenciadas do Controle de Bots faz.

VendorName:`AWS`, Nome:`AWSManagedRulesBotControlRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se você precisar solicitar uma nova classificação de bots para o Controle de Bots ou de informações adicionais não incluídas aqui, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).

O grupo de regras gerenciadas do Controle de Bots fornece regras que gerenciam solicitações de bots. Os bots podem consumir recursos em excesso, distorcer as métricas de negócios, causar tempo de inatividade e realizar atividades maliciosas. 

## Níveis de proteção
<a name="aws-managed-rule-groups-bot-prot-levels"></a>

O grupo de regras gerenciadas do Controle de Bots fornece dois níveis de proteção que você pode escolher: 
+ **Comum**: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar. 
+ **Direcionado**: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano. 
  + **`TGT_`**: as regras que fornecem proteção direcionada têm nomes que começam com `TGT_`. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. 
  + **`TGT_ML_`**: as regras de proteção direcionada que usam machine learning têm nomes que começam com `TGT_ML_`. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras. 

O nível de proteção desejado e a declaração de regra AWS WAF baseada em taxas fornecem limitação de taxa. Para uma comparação das duas opções, consulte [Opções para limitação de intervalo em regras baseadas em intervalos e regras direcionadas do Controle de Bots](waf-rate-limiting-options.md).

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-bot-using"></a>

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Para manter seus custos baixos e ter certeza de que você está gerenciando seu tráfego da web como deseja, use esse grupo de regras de acordo com as orientações em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

Atualizamos periodicamente nossos modelos de machine learning (ML) para as regras baseadas em ML do nível de proteção direcionado, a fim de melhorar as previsões de bots. As regras baseadas em ML têm nomes que começam com `TGT_ML_`. Se você notar uma mudança repentina e substancial nas previsões de bots feitas por essas regras, entre em contato conosco por meio de seu gerente de conta ou abra um caso no [ Center AWS Support](https://console.aws.amazon.com/support/home#/). 

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-bot-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos de acordo com CloudWatch as métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-bot-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### Rótulos do Controle de Bots
<a name="aws-managed-rule-groups-bot-labels-rg"></a>

O grupo de regras gerenciadas do Controle de Bots gera rótulos com o `awswaf:managed:aws:bot-control:` do prefixo do namespace seguido pelo namespace personalizado e pelo nome do rótulo. O grupo de regras pode adicionar mais de um rótulo a uma solicitação. 

Cada rótulo reflete as descobertas de regras do Controle de Bots: 
+ `awswaf:managed:aws:bot-control:bot:`: informações sobre o bot associado à solicitação. 
  + `awswaf:managed:aws:bot-control:bot:name:<name>`: o nome do bot, se houver um disponível, por exemplo, os namespaces personalizados `bot:name:slurp`, `bot:name:googlebot`, e `bot:name:pocket_parser`. 
  + `awswaf:managed:aws:bot-control:bot:name:<rfc_name>`— Identifica o bot específico usando o token do produto RFC da assinatura WBA. Isso é usado para criar regras personalizadas granulares para bots específicos. Por exemplo, permita, `GoogleBot` mas limite a taxa, outros rastreadores. 
  + `awswaf:managed:aws:bot-control:bot:category:<category>`— A categoria de bot, conforme definida por AWS WAF, por exemplo, `bot:category:search_engine` `bot:category:content_fetcher` e. 
  + `awswaf:managed:aws:bot-control:bot:account:<hash>`—Para bots que usam somente o Amazon Bedrock Agent Core. Esse rótulo contém um hash opaco que identifica exclusivamente a AWS conta proprietária do agente. Use esse rótulo para criar regras personalizadas que permitem, bloqueiam ou limitam a taxa de bots de AWS contas específicas sem expor a conta IDs nos registros.
  + `awswaf:managed:aws:bot-control:bot:web_bot_auth:<status>`— Aplicado quando a validação do Web Bot Authentication (WBA) é realizada em uma solicitação. O sufixo de status indica o resultado da verificação:
    + `web_bot_auth:verified`— Assinatura validada com sucesso em relação ao diretório de chaves públicas
    + `web_bot_auth:invalid`— Assinatura presente, mas falha na validação criptográfica
    + `web_bot_auth:expired`— A assinatura usou uma chave criptográfica expirada
    + `web_bot_auth:unknown_bot`— ID da chave não encontrada no diretório de chaves
**nota**  
Quando o `web_bot_auth:verified` rótulo está presente, as `TGT_TokenAbsent` regras `CategoryAI` e não coincidem, permitindo que os hosts WBA verificados continuem.
  + `awswaf:managed:aws:bot-control:bot:organization:<organization>`: o publicador do bot, por exemplo, `bot:organization:google`. 
  + `awswaf:managed:aws:bot-control:bot:verified`: usado para indicar um bot que se identifica e que o Controle de Bots conseguiu verificar. Isso é usado para bots comuns desejáveis e pode ser útil quando combinado com rótulos de categoria como `bot:category:search_engine` ou rótulos de nome como `bot:name:googlebot`. 
**nota**  
O Controle de Bots usa o endereço IP da origem da solicitação da web para ajudar a determinar se um bot foi verificado. Você não pode configurá-lo para usar a configuração de IP encaminhada pelo AWS WAF para inspecionar uma fonte de endereço IP diferente. Se você verificou bots que fazem roteamento por meio de um proxy ou balanceador de carga, você pode adicionar uma regra que é executada antes do grupo de regras do Controle de bots para ajudar com isso. Configure sua nova regra para usar o endereço IP encaminhado e permitir explicitamente as solicitações dos bots verificados. Para saber mais sobre utilizar endereços IP encaminhados, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md).
  + `awswaf:managed:aws:bot-control:bot:vendor:<vendor_name>`— Identifica o fornecedor ou operador de um bot verificado. Atualmente disponível apenas para Agentcore. Use para criar regras personalizadas que permitem ou bloqueiam fornecedores de bots específicos, independentemente dos nomes de bots individuais.
  + `awswaf:managed:aws:bot-control:bot:user_triggered:verified`: usado para indicar um bot semelhante a um bot verificado, mas que pode ser invocado diretamente pelos usuários finais. Essa categoria de bot é tratada pelas regras do Controle de Bots como um bot não verificado. 
  + `awswaf:managed:aws:bot-control:bot:developer_platform:verified`: usado para indicar um bot semelhante a um bot verificado, mas usado por plataformas de desenvolvedores para criação de scripts, por exemplo, o Google Apps Script. Essa categoria de bot é tratada pelas regras do Controle de Bots como um bot não verificado. 
  + `awswaf:managed:aws:bot-control:bot:unverified`: usado para indicar um bot que se identifica, para que possa ser nomeado e categorizado, mas que não publica informações que possam ser usadas para verificar sua identidade de forma independente. Esses tipos de assinaturas de bots podem ser falsificados e, portanto, tratados como não verificados. 
+ `awswaf:managed:aws:bot-control:targeted:<additional-details> `: usado para rótulos específicos das proteções direcionadas do Controle de Bots. 
+ `awswaf:managed:aws:bot-control:signal:<signal-details>` e `awswaf:managed:aws:bot-control:targeted:signal:<signal-details> `: usados para fornecer informações adicionais sobre a solicitação em algumas situações. 

  Veja a seguir exemplos de rótulos de sinal. Esta não é uma lista completa:
  + `awswaf:managed:aws:bot-control:signal:cloud_service_provider:<CSP>`: indica um provedor de serviços de nuvem (CSP) para a solicitação. Exemplos CSPs incluem `aws` a infraestrutura da Amazon Web Services, `gcp` a infraestrutura do Google Cloud Platform (GCP), `azure` os serviços em nuvem do Microsoft Azure e `oracle` os serviços do Oracle Cloud. 
  + `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension`: indica a detecção de uma extensão para navegador que auxilia na automação, como o Selenium IDE. 

    Este rótulo é adicionado sempre que um usuário tem esse tipo de extensão instalado, mesmo que não a esteja usando ativamente. Se você implementar uma regra de correspondência de rótulos para este caso, esteja ciente da possibilidade de obter falsos positivos na lógica da sua regra e nas configurações de ações. Por exemplo, é possível usar uma ação CAPTCHA em vez de Block, ou combinar essa correspondência de rótulos com outras correspondências de rótulos, para aumentar sua confiança de que a automação está em uso.
  + `awswaf:managed:aws:bot-control:signal:automated_browser`: indica que a solicitação contém indicadores de que o navegador do cliente pode ser automatizado.
  + `awswaf:managed:aws:bot-control:targeted:signal:automated_browser`— Indica que o AWS WAF token da solicitação contém indicadores de que o navegador do cliente pode ser automatizado.

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

O grupo de regras gerenciadas do Controle de Bots aplica rótulos a um conjunto de bots verificáveis que geralmente são permitidos. O grupo de regras não bloqueia esses bots verificados. Se quiser, você pode bloqueá-los ou um subconjunto deles escrevendo uma regra personalizada que usa os rótulos aplicados pelo grupo de regras gerenciadas do Controle de Bots. Para obter mais informações sobre isso e exemplos, consulte [AWS WAF Controle de bots](waf-bot-control.md).

## Lista de regras do Controle de Bots
<a name="aws-managed-rule-groups-bot-rules"></a>

Esta seção lista as regras de Controle de Bots.

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se você precisar solicitar uma nova classificação de bots para o Controle de Bots ou de informações adicionais não incluídas aqui, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).


| Nome da regra | Description | 
| --- | --- | 
| CategoryAdvertising |  Inspeciona os bots usados para fins publicitários. Por exemplo, você pode usar serviços de publicidade de terceiros que precisam acessar seu site de forma programática.  Ação de regra, aplicada somente a bots não verificados: Block Rótulos: `awswaf:managed:aws:bot-control:bot:category:advertising` e `awswaf:managed:aws:bot-control:CategoryAdvertising`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryArchiver |  Inspeciona os bots usados para fins de arquivamento. Esses bots vasculham a Web e capturam conteúdo com o objetivo de criar arquivos. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:archiver` e `awswaf:managed:aws:bot-control:CategoryArchiver`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryContentFetcher |  Inspeciona os bots que visitam o site do aplicativo em nome de um usuário, para buscar conteúdo, como feeds RSS, ou para verificar ou validar seu conteúdo.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:content_fetcher` e `awswaf:managed:aws:bot-control:CategoryContentFetcher`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryEmailClient |  Inspeciona bots que verificam links em e-mails que apontam para o site do aplicativo. Isso pode incluir bots administrados por empresas e provedores de e-mail para verificar links em e-mails e sinalizar e-mails suspeitos. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:email_client` e `awswaf:managed:aws:bot-control:CategoryEmailClient`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryHttpLibrary |  Inspeciona as solicitações geradas por bots das bibliotecas HTTP de várias linguagens de programação. Isso pode incluir solicitações de API que você opta por permitir ou monitorar. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:http_library` e `awswaf:managed:aws:bot-control:CategoryHttpLibrary`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryLinkChecker |  Inspeciona os bots que verificam se há links quebrados.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:link_checker` e `awswaf:managed:aws:bot-control:CategoryLinkChecker`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMiscellaneous |  Inspeciona bots diversos que não correspondem a outras categorias.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:miscellaneous` e `awswaf:managed:aws:bot-control:CategoryMiscellaneous`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryMonitoring |  Inspeciona os bots usados para fins de monitoramento. Por exemplo, você pode usar serviços de monitoramento de bots que pingam periodicamente o site do seu aplicativo para monitorar coisas como desempenho e tempo de atividade. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:monitoring` e `awswaf:managed:aws:bot-control:CategoryMonitoring`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryPagePreview |  Inspeciona bots que geram visualizações prévias de páginas e visualizações de links quando o conteúdo é compartilhado em plataformas de mensagens, mídias sociais ou ferramentas de colaboração. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:page_preview` e `awswaf:managed:aws:bot-control:CategoryPagePreview`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryScrapingFramework |  Inspeciona bots de estruturas de raspagem web, que são usadas para automatizar o crawling e a extração de conteúdo de sites.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:scraping_framework` e `awswaf:managed:aws:bot-control:CategoryScrapingFramework`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySearchEngine |  Inspeciona os bots dos mecanismos de pesquisa, que rastreiam sites para indexar o conteúdo e disponibilizar as informações para os resultados dos mecanismos de pesquisa. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:search_engine` e `awswaf:managed:aws:bot-control:CategorySearchEngine`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySecurity |  Inspeciona bots que examinam vulnerabilidades em aplicativos da web ou que realizam auditorias de segurança. Por exemplo, você pode usar um fornecedor de segurança terceirizado que escaneia, monitora ou audita a segurança do seu aplicativo da web. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:security` e `awswaf:managed:aws:bot-control:CategorySecurity`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySeo |  Inspeciona os bots usados para otimização de mecanismos de pesquisa. Por exemplo, você pode usar ferramentas de mecanismos de pesquisa que rastreiam seu site para ajudá-lo a melhorar sua classificação nos mecanismos de pesquisa.  Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:seo` e `awswaf:managed:aws:bot-control:CategorySeo`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategorySocialMedia |  Inspeciona os bots usados pelas plataformas de mídia social para fornecer resumos de conteúdo quando os usuários compartilham seu conteúdo. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:social_media` e `awswaf:managed:aws:bot-control:CategorySocialMedia`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryWebhooks |  Inspeciona bots que fornecem notificações automatizadas e atualizações de dados de um aplicativo para outro por meio de retornos de chamada HTTP. Ação de regra, aplicada somente a bots não verificados: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:webhooks` e `awswaf:managed:aws:bot-control:CategoryWebhooks`  Para bots verificados, o grupo de regras não faz a correspondência com essa regra e não realiza nenhuma ação, mas adiciona o nome do bot e o rótulo da regra mais o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| CategoryAI |  Inspeciona bots de inteligência artificial (IA).  Essa regra aplica a ação a todas as correspondências, independentemente de os bots serem verificados ou não verificados. Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:bot:category:ai` e `awswaf:managed:aws:bot-control:CategoryAI`  Para bots verificados, o grupo de regras corresponde a essa regra e executa uma ação. Além disso, ele adiciona o nome do bot e o rótulo da categoria, o rótulo da regra e o rótulo `awswaf:managed:aws:bot-control:bot:verified`.   | 
| SignalAutomatedBrowser |  Inspeciona solicitações que não são de bots verificados em busca de indicadores de que o navegador do cliente pode ser automatizado. Navegadores automatizados podem ser usados para testes ou extração. Por exemplo, você pode usar esses tipos de navegadores para monitorar ou verificar o site do seu aplicativo. Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:signal:automated_browser` e `awswaf:managed:aws:bot-control:SignalAutomatedBrowser`  Para bots verificados, o grupo de regras não corresponde a essa regra e não aplica nenhum sinal ou rótulo de regra.  | 
| SignalKnownBotDataCenter |  Inspeciona solicitações que não são de bots verificados em busca de indicadores de datacenters que normalmente são usados por bots.  Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:signal:known_bot_data_center` e `awswaf:managed:aws:bot-control:SignalKnownBotDataCenter`  Para bots verificados, o grupo de regras não corresponde a essa regra e não aplica nenhum sinal ou rótulo de regra.  | 
| SignalNonBrowserUserAgent |  Inspeciona solicitações que não são de bots verificados em busca de strings do atendente do usuário que não parecem ser de um navegador da Web. Essa categoria pode incluir solicitações de API.  Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:signal:non_browser_user_agent` e `awswaf:managed:aws:bot-control:SignalNonBrowserUserAgent`  Para bots verificados, o grupo de regras não corresponde a essa regra e não aplica nenhum sinal ou rótulo de regra.  | 
| TGT\$1VolumetricIpTokenAbsent |  Inspeciona solicitações que não são de bots verificados em busca de 5 ou mais solicitações de um único cliente nos últimos 5 minutos que não incluem um token de desafio válido. Para mais informações sobre tokens, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  É possível que essa regra corresponda a uma solicitação que tenha um token se as solicitações do mesmo cliente tiverem perdido tokens recentemente.  O limite aplicado por essa regra pode variar um pouco devido à latência.   Essa regra trata os tokens ausentes de forma diferente da rotulagem do token: `awswaf:managed:token:absent`. A rotulagem do token rotula solicitações individuais sem um token. Essa regra mantém uma contagem de solicitações sem token para cada IP do cliente e corresponde com os clientes que ultrapassam o limite.  Ação da regra: Challenge  Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:ip:token_absent` e `awswaf:managed:aws:bot-control:TGT_VolumetricIpTokenAbsent`   | 
| TGT\$1TokenAbsent |  Inspeciona solicitações que não são de bots verificados em busca das solicitações que não incluem um token de desafio válido. Para mais informações sobre tokens, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Ação da regra: Count  Rótulos: `awswaf:managed:aws:bot-control:TGT_TokenAbsent`   | 
| TGT\$1VolumetricSession |  Inspeciona um número anormalmente alto de solicitações que não são de bots verificados em busca de uma sessão de um único cliente em uma janela de 5 minutos. A avaliação é baseada em uma comparação com as linhas de base volumétricas padrão que se AWS WAF mantêm usando padrões históricos de tráfego.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Essa regra pode levar 5 minutos para entrar em vigor depois que você a habilitar. O Bot Control identifica um comportamento anômalo em seu tráfego na web comparando o tráfego atual com as linhas de base de tráfego computadas. AWS WAF   Ação da regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:high` e `awswaf:managed:aws:bot-control:TGT_VolumetricSession`  O grupo de regras aplica os seguintes rótulos às solicitações de volume médio e menor que estão acima de um limite mínimo. Para esses níveis, a regra não executa nenhuma ação, independentemente de o cliente ser verificado: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:medium` e `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:low`.  | 
| TGT\$1VolumetricSessionMaximum |  Inspeciona um número anormalmente alto de solicitações que não são de bots verificados em busca de uma sessão de um único cliente em uma janela de 5 minutos. A avaliação é baseada em uma comparação com as linhas de base volumétricas padrão que se AWS WAF mantêm usando padrões históricos de tráfego.  Essa regra indica a máxima confiança na avaliação. Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).  Essa regra pode levar 5 minutos para entrar em vigor depois que você a habilitar. O Bot Control identifica um comportamento anômalo em seu tráfego na web comparando o tráfego atual com as linhas de base de tráfego computadas. AWS WAF   Ação da regra: Block  Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:maximum` e `awswaf:managed:aws:bot-control:TGT_VolumetricSessionMaximum`   | 
| TGT\$1SignalAutomatedBrowser |  Inspeciona os tokens de solicitações que não são de bots verificados em busca de indicadores de que o navegador do cliente pode ser automatizado. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md). Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:signal:automated_browser` e `awswaf:managed:aws:bot-control:TGT_SignalAutomatedBrowser`   | 
| TGT\$1SignalBrowserAutomationExtension |  Inspeciona as solicitações que não são de bots verificados que indicam a presença de uma extensão de navegador que ajuda na automação, como Selenium IDE. Esta regra é correspondente sempre que um usuário tem esse tipo de extensão instalada, mesmo que não a esteja usando ativamente.  Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:signal:browser_automation_extension` e `awswaf:managed:aws:bot-control:TGT_SignalBrowserAutomationExtension`  | 
| TGT\$1SignalBrowserInconsistency |  Inspeciona solicitações que não são de bots verificados em busca de dados de interrogação de navegador inconsistentes. Para obter mais informações, consulte [AWS WAF características do token](waf-tokens-details.md). Essa inspeção só se aplica quando a solicitação da web tem um token. Os tokens são adicionados às solicitações pela integração do aplicativo SDKs e pelas ações da regra CAPTCHA Challenge e. Para obter mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Ação de regra: CAPTCHA  Rótulos: `awswaf:managed:aws:bot-control:targeted:signal:browser_inconsistency` e `awswaf:managed:aws:bot-control:TGT_SignalBrowserInconsistency`   | 
|  TGT\$1ML\$1CoordinatedActivityLow, TGT\$1ML\$1CoordinatedActivityMedium, TGT\$1ML\$1CoordinatedActivityHigh  |  Inspeciona solicitações que não são de bots verificados em busca de comportamentos anômalos que sejam consistentes com atividades de bot distribuídas e coordenadas. Os níveis das regras indicam o nível de confiança de que um grupo de solicitações participa de um ataque coordenado.   Essas regras só são executadas se o grupo de regras estiver configurado para usar machine learning (ML). Para saber mais sobre como configurar essa opção, consulte [Adicionar o grupo de regras gerenciadas do AWS WAF Bot Control à sua ACL da web](waf-bot-control-rg-using.md).   Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   AWS WAF realiza essa inspeção por meio da análise de aprendizado de máquina das estatísticas de tráfego do site. AWS WAF analisa o tráfego da web a cada poucos minutos e otimiza a análise para a detecção de bots de baixa intensidade e longa duração que são distribuídos em vários endereços IP.  Essas regras podem corresponder a um número muito pequeno de solicitações antes de determinar que um ataque coordenado não está em andamento. Portanto, se você ver apenas uma ou duas correspondências, os resultados podem ser falsos positivos. No entanto, se você vê muitas correspondências saindo dessas regras, provavelmente está enfrentando um ataque coordenado.   Essas regras podem levar até 24 horas para entrarem em vigor depois que você ativar as regras direcionadas do Controle de Bots com a opção de ML. O Bot Control identifica um comportamento anômalo em seu tráfego na web comparando o tráfego atual com as linhas de base de tráfego que foram computadas. AWS WAF AWS WAF só calcula as linhas de base enquanto você usa as regras específicas do Bot Control com a opção ML, e pode levar até 24 horas para estabelecer linhas de base significativas.   Atualizamos periodicamente nossos modelos de machine learning para essas regras, para melhorar as previsões de bots. Se você notar uma mudança repentina e substancial nas previsões de bots feitas por essas regras, entre em contato com gerente de conta ou abra um caso no [AWS Support Center](https://console.aws.amazon.com/support/home#/).  Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:coordinated_activity:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_ML_CoordinatedActivityLow\|Medium\|High`   | 
|  TGT\$1TokenReuseIpLow, TGT\$1TokenReuseIpMedium, TGT\$1TokenReuseIpHigh  |  Inspeciona solicitações que não são de bots verificados para o uso de um único token entre vários IPs nos últimos 5 minutos. Cada nível tem um limite no número de distintos IPs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:ip:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_TokenReuseIpLow\|Medium\|High`   | 
|  TGT\$1TokenReuseCountryLow, TGT\$1TokenReuseCountryMedium, TGT\$1TokenReuseCountryHigh  |  Inspeciona solicitações que não são de bots verificados em busca de um token único entre vários países nos últimos 5 minutos. Cada nível tem um limite no número de países distintos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:country:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_TokenReuseCountryLow\|Medium\|High`   | 
|  TGT\$1TokenReuseAsnLow, TGT\$1TokenReuseAsnMedium, TGT\$1TokenReuseAsnHigh  |  Inspeciona solicitações que não são de bots verificados para o uso de um único token em vários números de sistema autônomo de rede (ASNs) nos últimos 5 minutos. Cada nível tem um limite no número de distintos ASNs:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html)  Os limites aplicados por essas regras podem variar um pouco devido à latência. Algumas solicitações podem ultrapassar o limite antes que a ação de regra seja aplicada.   Ações de regra:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-bot.html) Rótulos: `awswaf:managed:aws:bot-control:targeted:aggregate:volumetric:session:token_reuse:asn:low\|medium\|high` e `awswaf:managed:aws:bot-control:TGT_TokenReuseAsnLow\|Medium\|High`   | 

# AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)
<a name="aws-managed-rule-groups-anti-ddos"></a>

Esta seção descreve o grupo de regras AWS WAF gerenciadas para a proteção contra ataques distribuídos de negação de serviço (DDoS).

VendorName:`AWS`, Nome:`AWSManagedRulesAntiDDoSRuleSet`, WCU: 50

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 

O grupo de regras gerenciadas do DDo Anti-S fornece regras que detectam e gerenciam solicitações que estão participando ou provavelmente participam de ataques DDo S. Além disso, o grupo de regras rotula todas as solicitações que ele avalia durante um provável evento. 

## Considerações sobre o uso deste grupo de regras
<a name="aws-managed-rule-groups-anti-ddos-using"></a>

Esse grupo de regras fornece atenuações flexíveis e rígidas para solicitações da web que chegam a recursos que estão sob ataque DDo S. Para detectar diferentes níveis de ameaça, é possível ajustar a sensibilidade de ambos os tipos de mitigação para níveis de suspeita altos, médios ou baixos.
+ **Atenuação flexível**: o grupo de regras pode enviar desafios silenciosos ao navegador em resposta a solicitações que podem lidar com o desafio intersticial. Para saber mais sobre os requisitos para executar o desafio, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md).
+ **Atenuação rígida**: o grupo de regras pode bloquear completamente as solicitações. 

Para obter mais informações sobre como o grupo de regras funciona e como configurá-lo, consulte [Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S](waf-anti-ddos-advanced.md). 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Esse grupo de regras faz parte das proteções de mitigação de ameaças inteligentes em AWS WAF. Para mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

Para minimizar os custos e otimizar o gerenciamento de tráfego, use esse grupo de regras de acordo com as diretrizes de melhores práticas. Consulte [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

## Rótulos adicionados por esse grupo de regras
<a name="aws-managed-rule-groups-anti-ddos-labels"></a>

Esse grupo de regras gerenciadas adiciona rótulos às solicitações da web que ele avalia, que estão disponíveis para as regras executadas após esse grupo de regras em seu pacote de proteção (Web ACL). AWS WAF também registra os rótulos nas CloudWatch métricas da Amazon. Para obter informações gerais sobre rótulos e métricas de rótulos, consulte [Rotulagem de solicitações da Web](waf-labels.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). 

### rótulos de token
<a name="aws-managed-rule-groups-anti-ddos-labels-token"></a>

Esse grupo de regras usa o gerenciamento de AWS WAF tokens para inspecionar e rotular solicitações da web de acordo com o status de seus AWS WAF tokens. AWS WAF usa tokens para rastreamento e verificação da sessão do cliente. 

Para saber mais sobre os tokens e sobre o gerenciamento de token, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

Para saber mais sobre os componentes do rótulo descritos aqui, consulte [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md).

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

### Etiquetas DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-labels-rg"></a>

O grupo de regras gerenciadas do DDo Anti-S gera rótulos com o prefixo do namespace `awswaf:managed:aws:anti-ddos:` seguido por qualquer namespace personalizado e pelo nome do rótulo. Cada rótulo reflete algum aspecto das descobertas do DDo Anti-S.

O grupo de regras pode adicionar mais de um dos rótulos a seguir a uma solicitação, além dos rótulos adicionados por regras individuais. 
+ `awswaf:managed:aws:anti-ddos:event-detected`— Indica que a solicitação está indo para um recurso protegido para o qual o grupo de regras gerenciadas detecta um evento DDo S. O grupo de regras gerenciadas detecta eventos quando o tráfego para o recurso apresenta um desvio significativo da linha de base de tráfego do recurso. 

  O grupo de regras adiciona esse rótulo a cada solicitação que vai para o recurso enquanto ele está nesse estado, assim o tráfego legítimo e o tráfego de ataque recebam esse rótulo. 
+ `awswaf:managed:aws:anti-ddos:ddos-request`: indica que a solicitação vem de uma fonte suspeita de participar de um evento. 

  Além do rótulo geral, o grupo de regras adiciona os seguintes rótulos que indicam o nível de confiança. 

  `awswaf:managed:aws:anti-ddos:low-suspicion-ddos-request`— Indica uma provável solicitação DDo de ataque S.

  `awswaf:managed:aws:anti-ddos:medium-suspicion-ddos-request`— Indica uma solicitação de ataque DDo S muito provável.

  `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`— Indica uma solicitação de ataque DDo S altamente provável.
+ `awswaf:managed:aws:anti-ddos:challengeable-request`: indica que o URI da solicitação é capaz de lidar com a ação Challenge. O grupo de regras gerenciadas aplica isso a qualquer solicitação cujo URI não esteja isento. URIs são isentos se corresponderem às expressões regulares de URI isentas do grupo de regras. 

  Para saber mais sobre os requisitos para solicitações que podem aceitar um desafio silencioso do navegador, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md).

Você pode recuperar todos os rótulos de um grupo de regras por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta. 

O grupo de regras gerenciadas do DDo Anti-S aplica rótulos às solicitações, mas nem sempre age de acordo com elas. O gerenciamento de solicitações depende do grau de certeza do grupo de regras em relação à participação em um ataque. Se quiser, você pode gerenciar as solicitações que o grupo de regras rotula adicionando uma regra para correspondência de rótulos que é executada após o grupo de regras. Para obter mais informações sobre isso e exemplos, consulte [AWS WAF Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md).

## Lista de regras DDo anti-S
<a name="aws-managed-rule-groups-anti-ddos-rules"></a>

Esta seção lista as regras DDo Anti-S.

 

**nota**  
Esta documentação abrange a versão estática mais recente desse grupo de regras gerenciadas. As alterações de versão são informadas no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md). Para obter informações sobre outras versões, use o comando API [DescribeManagedRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_DescribeManagedRuleGroup.html).   
As informações que publicamos sobre as regras nos grupos de regras de regras AWS gerenciadas têm como objetivo fornecer o que você precisa para usar as regras, sem dar aos malfeitores o que eles precisam para contorná-las.   
Se precisar de mais informações, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Nome da regra | Description | 
| --- | --- | 
| ChallengeAllDuringEvent |  Corresponde às solicitações que têm o rótulo `awswaf:managed:aws:anti-ddos:challengeable-request` de qualquer recurso protegido que esteja sob ataque.  Ação da regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. Em qualquer configuração de ação de regra, a regra se aplica apenas a solicitações que têm o rótulo `challengeable-request`. A configuração dessa regra afeta a avaliação da próxima regra,`ChallengeDDoSRequests`. AWS WAF só avalia essa regra quando a ação dessa regra tem a substituição definida comoCount, na configuração da ACL da web do grupo de regras gerenciadas.  Se a workload for vulnerável a mudanças inesperadas no volume de solicitações, recomendamos desafiar todas as solicitações possíveis, mantendo a configuração de ação padrão de Challenge. Para aplicações menos sensíveis, defina a ação dessa regra como Count e ajuste a sensibilidade das respostas ao Challenge com a regra `ChallengeDDoSRequests`.  Rótulos: `awswaf:managed:aws:anti-ddos:ChallengeAllDuringEvent`   | 
| ChallengeDDoSRequests |  Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de desafio definida pelo grupo de regras, quando o recurso está sob ataque.  Ação da regra: Challenge Você só pode substituir essa ação da regra por Allow ou Count. Não é recomendável usar Allow. De qualquer modo, a regra se aplica apenas a solicitações que têm o rótulo `challengeable-request`. AWS WAF só avalia essa regra se você substituir a ação Count na regra anterior,. `ChallengeAllDuringEvent`  Rótulos: `awswaf:managed:aws:anti-ddos:ChallengeDDoSRequests`   | 
| DDoSRequests |  Corresponde às solicitações de um recurso protegido que atendem ou excedem a configuração de sensibilidade de bloqueio definida pelo grupo de regras, quando o recurso está sob ataque.  Ação da regra: Block Rótulos: `awswaf:managed:aws:anti-ddos:DDoSRequests`   | 

# Implantações para grupos de regras de regras AWS gerenciadas com versão
<a name="waf-managed-rule-groups-deployments"></a>

Esta seção apresenta como AWS implanta atualizações em grupos de regras de regras AWS gerenciadas.

AWS implanta alterações em seus grupos de regras de regras AWS gerenciadas com versões em três implantações padrão: candidata a lançamento, versão estática e versão padrão. Além disso, às vezes AWS pode ser necessário lançar uma implantação de exceção ou reverter a implantação de uma versão padrão. 

**nota**  
Esta seção se aplica somente aos grupos de regras de regras AWS gerenciadas com controle de versão. Os únicos grupos de regras não versionados são os grupos de regras de reputação de IP. 

**Topics**
+ [

# Notificações para implantações de grupos de regras de regras AWS gerenciadas
](waf-managed-rule-groups-deployments-notifications.md)
+ [

# Visão geral das implantações padrão de regras AWS gerenciadas
](waf-managed-rule-groups-deployments-standard.md)
+ [

# Estados de versão típicos para regras AWS gerenciadas
](waf-managed-rule-groups-typical-version-states.md)
+ [

# Implantações de Release Candidate para Regras AWS Gerenciadas
](waf-managed-rule-groups-deployments-release-candidate.md)
+ [

# Implantações de versões estáticas para regras AWS gerenciadas
](waf-managed-rule-groups-deployments-static-version.md)
+ [

# Implantações de versão padrão para regras AWS gerenciadas
](waf-managed-rule-groups-deployments-default-version.md)
+ [

# Implantações de exceções para regras AWS gerenciadas
](waf-managed-rule-groups-deployments-exceptions.md)
+ [

# Reversões de implantação padrão para AWS regras gerenciadas
](waf-managed-rule-groups-deployments-default-rollbacks.md)

# Notificações para implantações de grupos de regras de regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-notifications"></a>

Esta seção explica como as notificações do Amazon SNS funcionam com grupos de regras de regras AWS gerenciadas.

Todos os grupos de regras do AWS Managed Rules versionados fornecem notificações de atualização do SNS para implantações e todos usam o mesmo tópico do SNS Amazon Resource Name (ARN). Os únicos grupos de regras não versionados são os grupos de regras de reputação de IP. 

Para implantações que afetam suas proteções, como alterações na versão padrão, a AWS fornece notificações do SNS para informá-lo sobre implantações planejadas e para que você saiba quando uma implantação está começando. Para implantações que não afetam suas proteções, como implantações de versão candidata e versão estática, você pode ser notificado pela AWS após o início da implantação ou mesmo após sua conclusão. Ao concluir a implantação de uma nova versão estática, AWS atualize este guia, no changelog em [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md) e na página de histórico do documento em. [Histórico do documento](doc-history.md) 

Para receber todas as atualizações que AWS fornecem os grupos de regras de regras AWS gerenciadas, assine o feed RSS de qualquer página HTML deste guia e assine o tópico SNS para os grupos de regras de regras AWS gerenciadas. Para obter mais informações sobre como assinar as notificações do SNS, consulte [Como receber notificações sobre novas versões e atualizações de um grupo de regras gerenciadas](waf-using-managed-rule-groups-sns-topic.md).

**Conteúdo das notificações do SNS**  
Os campos nas notificações do Amazon SNS sempre incluem Assunto, Mensagem e. MessageAttributes Os campos adicionais dependem do tipo de mensagem e do grupo de regras gerenciadas para o qual a notificação se destina. Veja a seguir um exemplo de lista de notificação para `AWSManagedRulesCommonRuleSet`.

```
{
    "Type": "Notification",
    "MessageId": "4286b830-a463-5e61-bd15-e1ae72303868",
    "TopicArn": "arn:aws:sns:us-west-2:123456789012:MyTopic",
    "Subject": "New version available for rule group AWSManagedRulesCommonRuleSet",
    "Message": "Welcome to AWSManagedRulesCommonRuleSet version 1.5! We've updated the regex specification in this version to improve protection coverage, adding protections against insecure deserialization. For details about this change, see http://updatedPublicDocs.html. Look for more exciting updates in the future! ",
    "Timestamp": "2021-08-24T11:12:19.810Z",
    "SignatureVersion": "1",
    "Signature": "EXAMPLEHXgJm...",
    "SigningCertURL": "https://sns.us-west-2.amazonaws.com/SimpleNotificationService-f3ecfb7224c7233fe7bb5f59f96de52f.pem",
    "SubscribeURL": "https://sns.us-west-2.amazonaws.com/?Action=ConfirmSubscription&TopicArn=arn:aws:sns:us-west-2:123456789012:MyTopic&Token=2336412f37...",
    "MessageAttributes": {
        "major_version": {
            "Type": "String",
            "Value": "v1"
        },
        "managed_rule_group": {
            "Type": "String",
            "Value": "AWSManagedRulesCommonRuleSet"
        }
    }
}
```

# Visão geral das implantações padrão de regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-standard"></a>

AWS implementa a nova funcionalidade de Regras AWS Gerenciadas usando três estágios padrão de implantação: candidato a lançamento, versão estática e versão padrão. 

O diagrama a seguir mostra essas implantações padrão. Cada uma delas é descrita com mais detalhes nas seções seguintes. 

![\[Quatro raias verticais mostram diferentes estágios de implantação padrão. A raia mais à esquerda mostra a versão padrão definida como a versão estática recomendada 1.4. A segunda raia mostra o conjunto padrão de uma versão candidata a lançamento (release candidate, RC) para testes e ajustes. A versão RC contém regras da 1.4 e regras da RC. Uma nota indica que, após o teste, o padrão é retornado para a versão estática recomendada. A terceira raia mostra a criação de uma versão 1.5 estática a partir das regras da versão candidata a lançamento. A quarta raia mostra a versão padrão definida para a nova versão estática recomendada 1.5.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-flowchart-diagram.png)


# Estados de versão típicos para regras AWS gerenciadas
<a name="waf-managed-rule-groups-typical-version-states"></a>

Normalmente, um grupo de regras gerenciadas com versão tem várias versões estáticas não expiradas, e a versão padrão aponta para a versão estática recomendada. AWS A figura a seguir mostra um exemplo do conjunto típico de versões estáticas e da configuração de versão padrão. 

![\[Três versões estáticas Version_1.2, Version_1.3 e Version_1.4 estão empilhadas, com Version_1.4 na parte superior. Version_1.4 tem duas regras, RuleA e RuleB, ambas com ação de produção. Um indicador de versão padrão aponta para Version_1.4.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-diagram.png)


A ação de produção da maioria das regras em uma versão estática é Block, mas pode ser definida como algo diferente. Para obter informações detalhadas sobre as configurações de ação de regras, consulte as listas de regras para cada grupo de regras em [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md). 

# Implantações de Release Candidate para Regras AWS Gerenciadas
<a name="waf-managed-rule-groups-deployments-release-candidate"></a>

Esta seção explica como funciona uma implantação temporária de liberação de candidato.

Quando AWS um conjunto candidato de regras muda para um grupo de regras gerenciado, ele as testa em uma implantação temporária do Release Candidate. AWS avalia as regras candidatas no modo de contagem em relação ao tráfego de produção e executa as atividades de ajuste final, incluindo a mitigação de falsos positivos. AWS testa as regras Release Candidate dessa forma para todos os clientes que usam a versão padrão do grupo de regras. As implantações de candidata a lançamento não se aplicam a clientes que usam uma versão estática do grupo de regras.

Se você usar a versão padrão, uma implantação de candidata a lançamento não alterará a forma como seu tráfego da web é gerenciado pelo grupo de regras. Você pode observar o seguinte enquanto as regras da candidata estão sendo testadas: 
+ O nome da versão padrão muda de `Default (using Version_X.Y)` para `Default (using Version_X.Y_PLUS_RC_COUNT)`. 
+ Métricas de contagem adicionais na Amazon CloudWatch com `RC_COUNT` seus nomes. Elas são geradas pelas regras da candidata a lançamento.

AWS testa um candidato a lançamento por cerca de uma semana, depois o remove e redefine a versão padrão para a versão estática recomendada atualmente. 

AWS executa as seguintes etapas para uma implantação do Release Candidate: 

1. **Criar o candidato a lançamento** — AWS adiciona um candidato a lançamento com base na versão estática recomendada atual, que é a versão para a qual o padrão está apontando. 

   O nome do candidata a lançamento é o nome da versão estática acrescido de `_PLUS_RC_COUNT`. Por exemplo, se a versão estática recomendada atualmente for `Version_2.1`, a candidata a lançamento será nomeada `Version_2.1_PLUS_RC_COUNT`.

   A candidata a lançamento contém as seguintes regras: 
   + Regras copiadas exatamente da versão estática recomendada atual, sem alterações nas configurações das regras. 
   + Novas regras da candidata com a ação de regra definida como Count e com nomes que terminam com `_RC_COUNT`. 

     A maioria das regras da candidata fornece propostas de melhorias para as regras que já existem no grupo de regras. O nome de cada uma dessas regras é o nome da regra existente acrescido de `_RC_COUNT`. 

1. **Defina a versão padrão para o candidato a lançamento e teste** — AWS define a versão padrão para apontar para o novo candidato a lançamento, para realizar testes em relação ao seu tráfego de produção. O teste geralmente leva cerca de uma semana.

    Você verá o nome da versão padrão mudar daquele que indica somente a versão estática, como `Default (using Version_1.4)`, para um que indica a versão estática mais as regras da candidata a lançamento, como `Default (using Version_1.4_PLUS_RC_COUNT)`. Esse esquema de nomenclatura permite identificar qual versão estática você está usando para gerenciar seu tráfego da web. 

   O diagrama a seguir mostra o estado das versões de exemplo de grupos de regras neste momento.   
![\[Na parte superior da figura estão três versões estáticas empilhadas, com Version_1.4 na parte superior. Separada da pilha de versões estáticas está a versão VERSION_1.4_PLUS_RC_COUNT. Essa versão contém as regras de Version_1.4 e também contém duas regras da candidata a lançamento, RuleB_RC_COUNT e RuleZ_RC_COUNT, ambas com ação de contagem. O indicador de versão padrão aponta para Version_1.4_PLUS_RC_COUNT.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-rc-diagram.png)

   As regras da candidata a lançamento são sempre configuradas com ação Count, para que não alterem a forma como o grupo de regras gerencia o tráfego da web. 

   As regras do Release Candidate geram métricas de CloudWatch contagem da Amazon que são AWS usadas para verificar o comportamento e identificar falsos positivos. AWS faz ajustes conforme necessário, para ajustar o comportamento das regras de contagem de candidatos a lançamento. 

   A versão candidata a lançamento não é estática e não está disponível para você escolher na lista de versões estáticas de grupos de regras. Você só pode ver o nome da versão candidata a lançamento na especificação da versão padrão.

1. **Retorne a versão padrão para a versão estática recomendada** — Depois de testar as regras do candidato a lançamento, AWS define a versão padrão de volta para a versão estática recomendada atual. A configuração padrão do nome da versão elimina o `_PLUS_RC_COUNT` final e o grupo de regras deixa de gerar métricas de CloudWatch contagem para as regras do Release Candidate. Essa é uma mudança silenciosa e não é o mesmo que a implantação de uma reversão de versão padrão.

   O diagrama a seguir mostra o estado das versões de exemplo do grupo de regras após a conclusão do teste da candidata a lançamento.   
![\[Esta é a figura típica dos estados da versão novamente. Três versões estáticas Version_1.2, Version_1.3 e Version_1.4 estão empilhadas, com Version_1.4 na parte superior. Version_1.4 tem duas regras, RuleA e RuleB, ambas com ação de produção. Um indicador de versão padrão aponta para Version_1.4.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-rc-complete-diagram.png)

**Tempo e notificações**  
AWS implanta versões candidatas a lançamento conforme necessário, para testar melhorias em um grupo de regras. 
+ **SNS** — AWS envia uma notificação de SNS no início da implantação. A notificação indica o tempo estimado em que a candidata a lançamento será testada. Quando o teste for concluído, retornará AWS silenciosamente o padrão para a configuração da versão estática, sem uma segunda notificação.
+ **Registro de alterações** — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.

# Implantações de versões estáticas para regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-static-version"></a>

Quando AWS determina que um candidato a lançamento fornece alterações valiosas ao grupo de regras, AWS implanta uma nova versão estática para o grupo de regras com base no candidato a lançamento. Essa implantação não altera a versão padrão do grupo de regras. 

A nova versão estática contém as seguintes regras da candidata a lançamento: 
+ Regras da versão estática anterior sem uma candidata substituta entre as regras da candidata a lançamento. 
+ Liberar regras da candidata, com as seguintes alterações: 
  + AWS altera o nome da regra removendo o sufixo `_RC_COUNT` do candidato a lançamento.
  + AWS altera as ações da regra de Count para suas ações de regra de produção. 

   Para regras de candidatas a lançamento que substituem regras anteriores existentes, isso substitui a funcionalidade das regras anteriores na nova versão estática. 

O diagrama a seguir mostra a criação da nova versão estática a partir da candidata a lançamento. 

![\[Na parte superior da figura está a versão candidata a lançamento Version_1.4_PLUS_RC_COUNT, com as mesmas regras da figura de implantação da candidata a lançamento anterior. A versão contém as regras de Version_1.4 e também contém regras da candidata a lançamento, RuleB_RC_COUNT e RuleZ_RC_COUNT, ambas com ação de contagem. Abaixo disso, na parte inferior da figura está uma versão estática Version_1.5, que contém as regras RuleA, RuleB e RuleZ, todas com ação de produção. As setas apontam da versão RC para Version_1.5 para indicar que RuleA é copiada das regras da versão 1.4 e RuleB e RuleZ são copiadas das regras da candidata a lançamento. Todas as regras na Version_1.5 têm ações de produção.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-create-static-diagram.png)


Após a implantação, a nova versão estática estará disponível para você testar e usar em suas proteções, se quiser. Você pode revisar as ações e descrições de regras novas e atualizadas nas listas de regras do grupo de regras em [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md). 

Uma versão estática é imutável após a implantação e só muda quando AWS expira. Para obter informações sobre ciclos de vida de versão, consulte [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md).

**Tempo e notificações**  
AWS implanta uma nova versão estática conforme necessário, a fim de implantar melhorias na funcionalidade do grupo de regras. A implantação de uma versão estática não afeta a configuração da versão padrão.
+ **SNS** — AWS envia uma notificação de SNS quando a implantação é concluída.
+ **Registro de alterações** — Depois que AWS WAF a implantação for concluída em todos os lugares disponíveis, AWS atualiza a definição do grupo de regras neste guia conforme necessário e, em seguida, anuncia o lançamento no registro de alterações do grupo de regras de regras AWS gerenciadas e na página de histórico da documentação. 

# Implantações de versão padrão para regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-default-version"></a>

Quando AWS determina que uma nova versão estática fornece proteções aprimoradas para o grupo de regras em comparação com o padrão atual, AWS atualiza a versão padrão para a nova versão estática. AWS pode lançar várias versões estáticas antes de promover uma para a versão padrão do grupo de regras. 

O diagrama a seguir mostra o estado das versões de exemplo do grupo de regras depois de AWS mover a configuração da versão padrão para a nova versão estática. 

![\[Isso é semelhante à figura típica dos estados da versão, mas com Version_1.5 no topo da pilha e o indicador padrão apontando para ela.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/amr-rg-versions-new-default-diagram.png)


Antes de implantar essa alteração na versão padrão, AWS fornece notificações para que você possa testar e se preparar para as próximas alterações. Se você usar a versão padrão, não poderá realizar nenhuma ação e permanecer nela durante a atualização. Se, em vez disso, você quiser adiar a mudança para a nova versão, antes do início planejado da implantação da versão padrão, você pode configurar explicitamente seu grupo de regras para usar a versão estática para a qual o padrão está definido. 

**Tempo e notificações**  
AWS atualiza a versão padrão quando recomenda uma versão estática diferente para o grupo de regras daquela que está em uso no momento. 
+ **SNS** — AWS envia uma notificação de SNS pelo menos uma semana antes do dia de implantação pretendido e outra no dia da implantação, no início da implantação. Cada notificação inclui o nome do grupo de regras, a versão estática para a qual a versão padrão está sendo atualizada, a data de implantação e o horário programado da implantação para cada AWS região em que a atualização está sendo executada. 
+ **Registro de alterações** — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.

# Implantações de exceções para regras AWS gerenciadas
<a name="waf-managed-rule-groups-deployments-exceptions"></a>

AWS pode ignorar os estágios padrão de implantação para implantar rapidamente atualizações que abordem riscos críticos de segurança. Uma implantação de exceção pode envolver qualquer um dos tipos de implantação padrão e pode ser implementada rapidamente em todas as AWS regiões. 

AWS fornece o máximo de notificação antecipada possível para implantações de exceções. 

**Tempo e notificações**  
AWS executa implantações de exceção somente quando necessário. 
+ **SNS** — AWS envia uma notificação de SNS o mais cedo possível do dia de implantação pretendido e, em seguida, outra no início da implantação. Cada notificação inclui o nome do grupo de regras, a alteração que está sendo feita e a data de implantação. 
+ **Registro de alterações** — Se a implantação for para uma versão estática, depois que AWS WAF a implantação for concluída em todos os lugares disponíveis, AWS atualiza a definição do grupo de regras neste guia conforme necessário e, em seguida, anuncia a versão no registro de alterações do grupo de regras AWS gerenciadas e na página de histórico da documentação. 

# Reversões de implantação padrão para AWS regras gerenciadas
<a name="waf-managed-rule-groups-deployments-default-rollbacks"></a>

Sob certas condições, AWS pode reverter a versão padrão para a configuração anterior. Uma reversão geralmente leva menos de dez minutos para todas as AWS regiões.

AWS executa uma reversão somente para mitigar um problema significativo em uma versão estática, como um nível inaceitavelmente alto de falsos positivos. 

Após a reversão da configuração da versão padrão, AWS acelera a expiração da versão estática que tem o problema e o lançamento de uma nova versão estática para resolver o problema. 

**Tempo e notificações**  
AWS executa reversões de versão padrão somente quando necessário. 
+ **SNS** — AWS envia uma única notificação de SNS no momento da reversão. A notificação inclui o nome do grupo de regras, a versão para a qual a versão padrão está sendo definida e a data de implantação. Esse tipo de implantação é muito rápido, então a notificação não fornece informações de tempo para regiões. 
+ **Registro de alterações** — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.

# AWS Registro de alterações das regras gerenciadas
<a name="aws-managed-rule-groups-changelog"></a>

Esta seção lista as alterações nas regras AWS gerenciadas AWS WAF desde seu lançamento em novembro de 2019.

**nota**  
Esse changelog relata alterações nas regras e grupos de regras em Regras AWS gerenciadas para. AWS WAF  
Para o [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md), esse log de alterações relata mudanças nas regras e no grupo de regras e relata mudanças significativas nas fontes das listas de endereços IP usadas pelas regras. Ele não relata alterações nas listas de endereços IP em si, devido à natureza dinâmica dessas listas. Se você tiver dúvidas sobre as listas de endereços IP, entre em contato com seu gerente de conta ou abra um caso na [AWS Support Center](https://console.aws.amazon.com/support/home#/). 


| Grupos de regras e regras | Description | Data | 
| --- | --- | --- | 
| [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Lançada a versão estática 2.2 desse grupo de regras.  Detecções aprimoradas e `PHPHighRiskMethodsVariables_URIPATH` regras adicionadas.  | 2026-03-24 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novas regras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão 5.0 estática desse grupo de regras. Foram adicionados mais de 400 novos bots em várias categorias, incluindo duas novas categorias de bots com suas respectivas regras: Page Preview e Webhooks. **Principais melhorias** Maior precisão dos sinais de detecção de bots e da correspondência genérica de padrões de bots, resultando em uma classificação de tráfego mais precisa.  Essa atualização muda a forma como o grupo de regras gerenciadas prioriza a detecção de bots. Os padrões específicos de bots não verificados agora são avaliados antes dos padrões genéricos e dos sinais de detecção. Isso significa que as solicitações têm maior probabilidade de serem classificadas com base em suas características mais específicas do que em indicadores genéricos. **O que isso significa para o seu tráfego:** O padrão genérico de bot agora corresponderá com menos frequência. Esses padrões só se aplicam quando nenhuma regra de bot mais específica já identificou o tráfego. Isso reduz o excesso de classificação e garante que as solicitações sejam rotuladas com a identificação de bot mais precisa disponível. Sinais de detecção, como indicadores de que uma solicitação se origina de um provedor de serviços em nuvem, de um data center de bots conhecido ou de que usa um agente de usuário que não é do navegador, agora são aplicados após as regras de identificação de bots. Isso garante que classificações específicas de bots tenham precedência sobre sinais de tráfego genéricos. **Impacto:** Talvez você veja menos rótulos para padrões genéricos de bots em seus registros de tráfego, já que as solicitações agora são classificadas com mais precisão por regras específicas de bots. Isso fornece uma visão mais clara da natureza real do seu tráfego automatizado e reduz o ruído causado pela correspondência de padrões excessivamente ampla. As classificações de bots não verificadas serão mais proeminentes e precisas, ajudando você a entender e gerenciar melhor as solicitações automatizadas para seus aplicativos. **Observação:** esta versão inclui as atualizações de `awswaf:managed:aws:bot-control:bot:web_bot_auth` rótulos e regras da Version\$14.0, mas a `Web Bot Auth` funcionalidade ainda está disponível somente em. CloudFront  | 2026-02-25 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Lançou a versão 3.2 estática desse grupo de regras.  Assinaturas de detecção aprimoradas para todas as regras.  | 2026-01-15 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.25 desse grupo de regras. Atualizou o `ReactJSRCE_BODY` para melhorar a detecção.  | 2025-12-08 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  |  Lançou a versão 3.1 estática desse grupo de regras.  Assinaturas de detecção aprimoradas para todas as regras.  | 2025-12-08 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.24 desse grupo de regras. Atualizou o `ReactJSRCE_BODY` para melhorar a detecção.  | 2025-12-04 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novos rótulos:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Escopo: CloudFront |  Implantou a nova versão estática `AWSManagedRulesBotControlRuleSet` Version\$14.0 com suporte à Autenticação de Web Bot (WBA) para verificação criptográfica de bots. Essa versão deve ser selecionada explicitamente e não atualiza automaticamente as implantações existentes usando a versão padrão. Novos recursos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Atualizações de regras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  A versão 4.0 é apenas uma versão estática — ela não altera o comportamento da versão padrão. Para usar os recursos do WBA, selecione explicitamente a Versão \$14.0 ao configurar sua Web ACL.   | 2025-11-20 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novos rótulos de bots verificados:Publicidade:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)AI:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Buscador de conteúdo:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)Mídias sociais:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) |  Principais melhorias:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  As regras de categoria de bots no Bot Control são acionadas somente em bots não verificados, exceto no CategoryAI, que também é acionado em bots verificados. A versão 3.3 é apenas uma versão estática — ela não altera o comportamento da versão padrão.   | 2025-11-17 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançamento da versão estática 1.20 deste grupo de regras.  Assinaturas de detecção aprimoradas para as regras Server Side Request Forgery (SSRF).  | 2025-10-02 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.19 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.  | 2025-08-14 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão estática 1.18 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.  | 2025-06-18 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novos rótulos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançou a versão 3.2 estática desse grupo de regras.  Adicionadas as novas regras listadas.   | 2025-05-29 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançada a versão estática 1.17 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.  | 2025-03-03 | 
| [Grupo de regras gerenciadas do banco de dados SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.3 deste grupo de regras.  Adicionada transformação de texto `URL_DECODE_UNI` dupla às regras listadas.  | 2025-01-24 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançou a versão 2.6 estática desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2025-01-24 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novo rótulo de nome de bot nos rótulos do Controle de Bots: `awswaf:managed:aws:bot-control:bot::name:nytimes`  | Lançou a versão 3.1 estática desse grupo de regras.  Adicionado o rótulo do New York Times à lista de rótulos de nome de bot.   | 2024-11-07 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.16 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras de script entre sites.   | 16/10/2024 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) Novas regras: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Regras excluídas. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Novos rótulos: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html) Rotulagem adicional nas regras existentes.  | Lançamento das versões estáticas 2.0 e 3.0 deste grupo de regras. A versão 2.0 é igual à versão 3.0, mas com ações de regras para todas as novas regras definidas como Count. Este guia documenta a versão mais recente de cada grupo de regras.  Foram adicionadas as novas regras listadas.  Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão `awswaf:managed:aws:bot-control:<RuleName>`.  Foram adicionados rótulos de provedores de serviços em nuvem aos rótulos de sinal do Controle de Bots.  Foram adicionados novos rótulos de nomes de bots que são inspecionados pelas regras da categoria de bots.   | 2024-09-13 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) Todas as regras  | Lançada a versão estática 1.1 deste grupo de regras.  Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão `awswaf:managed:aws:atp:<RuleName>`.   | 2024-09-13 | 
| [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md) Todas as regras  | Lançada a versão estática 1.1 deste grupo de regras.  Rotulagem atualizada para que todas as regras apliquem um rótulo com o padrão `awswaf:managed:aws:acfp:<RuleName>`.   | 2024-09-13 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas as regras  | Lançada a versão estática 2.5 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2024-09-02 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.15 desse grupo de regras.  Assinaturas de detecção aprimoradas para as regras genéricas de LFI.   | 2024-08-30 | 
| [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.3 desse grupo de regras.  Assinaturas de detecção ajustadas nas regras listadas para reduzir os falsos positivos.   | 2024-08-28 | 
| [WordPress grupo de regras gerenciado por aplicativos](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.3 deste grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada à regra listada.   | 2024-07-15 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.4 desse grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada à regra listada.   | 2024-07-12 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.14 deste grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada às regras listadas.   | 2024-07-09 | 
| [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada às regras listadas.   | 2024-07-03 | 
| [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.2 desse grupo de regras.  A transformação de texto JS\$1DECODE foi adicionada às regras listadas.   | 2024-07-03 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) Todas as regras  | Lançada a versão estática 2.3 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2024-06-06 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md)  | Os grupos de regras de bots e fraudes agora estão versionados. Se você estiver usando qualquer um desses grupos de regras, essa atualização não altera a forma como eles lidam com seu tráfego na web.  Essa atualização define a versão atual do grupo de regras para a versão estática 1.0 e define a versão padrão para apontar para ela.  Para obter mais informações sobre as regras gerenciadas versionadas, consulte o seguinte:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2024-05-29 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 3.0 desse grupo de regras.  `UNIXShellCommandsVariables_QUERYARGUMENTS` removido e substituído por `UNIXShellCommandsVariables_QUERYSTRING`. Se você tiver regras que correspondam ao rótulo de `UNIXShellCommandsVariables_QUERYARGUMENTS`, ao usar esta versão, troque-as para que correspondam ao rótulo de `UNIXShellCommandsVariables_QUERYSTRING`. O novo rótulo é `awswaf:managed:aws:posix-os:UNIXShellCommandsVariables_QueryString`. Foi adicionada a regra `UNIXShellCommandsVariables_HEADER`, que corresponde a todos os cabeçalhos. Todas as regras do grupo de regras gerenciadas foram atualizadas com uma lógica de detecção aprimorada.  Foi corrigida a capitalização documentada do rótulo para `UNIXShellCommandsVariables_BODY`.   | 2024-05-28 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.12 deste grupo de regras.  Adição de assinaturas para todas as regras de Cross-Site Scripting para aprimorar a detecção e reduzir os falsos positivos.  | 2024-05-21 | 
| [Grupo de regras gerenciadas do banco de dados SQL](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-sql-db) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançamento da versão estática 1.2 deste grupo de regras. A transformação de texto `JS_DECODE` foi adicionada às regras listadas.   | 2024-05-14 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.22 deste grupo de regras. A transformação de texto `JS_DECODE` foi adicionada às regras listadas.   | 2024-05-08 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os)  | Lançada a versão estática 2.2 desse grupo de regras.  A transformação de texto `JS_DECODE` foi adicionada a ambas as regras.   | 2024-05-08 | 
| [Grupo de regras gerenciadas do sistema operacional Windows](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-windows-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  Assinaturas adicionadas ao `PowerShellCommands_BODY` para melhorar a detecção.   | 2024-05-03 | 
| [Grupo de regras gerenciadas da lista de reputação de IPs da Amazon](aws-managed-rule-groups-ip-rep.md#aws-managed-rule-groups-ip-rep-amazon) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | As fontes da lista de reputação de IP foram atualizadas para melhorar a identificação de endereços que estão ativamente envolvidos em atividades maliciosas e reduzir os falsos positivos.  Essa atualização não envolve uma nova versão porque esse grupo de regras não tem versão.   | 2024-03-13 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)  | Lançamento da versão estática 1.21 deste grupo de regras. Adição de assinaturas para aprimorar a detecção e reduzir os falsos positivos.   | 2023-12-16 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.20 deste grupo de regras. Atualização da regra `ExploitablePaths_URIPATH` para adicionar detecção para solicitações que correspondem à vulnerabilidade de autorização inadequada (CVE-2023-22518) do Confluence da Atlassian. Esta vulnerabilidade afeta todas as versões do Confluence Data Center e do Confluence Server. Para obter mais informações, consulte [NIST: National Vulnerability Database: CVE-2023-22518 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22518).  | 2023-12-14 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançamento da versão estática 1.11 deste grupo de regras.  Adição de assinaturas para todas as regras de Cross-Site Scripting para aprimorar a detecção e reduzir os falsos positivos.  | 2023-12-06 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Adição do rótulo de baixa atividade coordenada aos rótulos de nível de proteção direcionados do grupo de regras. Este rótulo não está associado a nenhuma regra. Esta rotulagem corresponde a um complemento às regras e aos rótulos de médio e de alto nível.  | 2023-12-05 | 
| [Rótulos do Controle de Bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-labels-rg) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Adição de um rótulo de sinalização ao grupo de regras que indica a detecção de uma extensão para navegador que auxilia na automação. Este rótulo não é específico para uma regra individual.   | 2023-11-14 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.10 desse grupo de regras.  Uma regra foi atualizada para melhorar a detecção e reduzir os falsos positivos.  | 2023-11-02 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.9 desse grupo de regras.  Regras atualizadas para melhorar a detecção e reduzir os falsos positivos.  | 2023-10-30 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  A regra de argumentos de consulta foi atualizada para melhorar a detecção.   | 2023-10-12 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.8 desse grupo de regras.  Regras atualizadas para melhorar a detecção.  | 11/010/2023 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implantação de exceção: lançada a versão estática 1.19 desse grupo de regras. A versão padrão foi atualizada para usar a versão 1.19. A regra `ExploitablePaths_URIPATH` foi atualizada para adicionar detecção para solicitações que correspondam à vulnerabilidade de escalonamento de privilégios do Atlassian Confluence CVE-2023-22515. Essa vulnerabilidade afeta algumas versões do Atlassian Confluence. Para obter mais informações, consulte [NIST: National Vulnerability Database: CVE-2023-22515 Detail](https://nvd.nist.gov/vuln/detail/CVE-2023-22515) e [Atlassian Support: FAQ for CVE-2023-22515](https://confluence.atlassian.com/kb/faq-for-cve-2023-22515-1295682188.html). Para saber mais sobre esse tipo de implantação, consulte [Implantações de exceções para regras AWS gerenciadas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Implantação de exceção: lançada a versão estática 1.18 desse grupo de regras. Esse é um lançamento rápido dessa versão estática para acomodar a criação e o lançamento da versão 1.19.  A regra `Host_localhost_HEADER` e todas as regras de desserialização do Log4J e do Java foram atualizadas para melhorar a detecção.  Para saber mais sobre esse tipo de implantação, consulte [Implantações de exceções para regras AWS gerenciadas](waf-managed-rule-groups-deployments-exceptions.md). | 2023-10-04 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Regras adicionadas ao grupo de regras com ação Count.  A regra de IP de reutilização de tokens detecta e conta o compartilhamento de tokens entre endereços IP.  As regras de atividades coordenadas usam análise automatizada de machine learning (ML) do tráfego do site para detectar atividades relacionadas a bots. Na configuração do grupo de regras, você pode cancelar o uso de ML. Com esta versão, os clientes que atualmente usam o nível de proteção direcionado optam pelo uso de ML. A desativação desativa as regras de atividades coordenadas.  | 2023-09-06 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A regra `CategoryAI` foi adicionada ao grupo de regras.  | 2023-08-30 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.7 desse grupo de regras.  Atualizadas as extensões restritas e regras SSRF de metadados do EC2 para melhorar a detecção e reduzir os falsos positivos.  | 2023-07-26 | 
| [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md) Todas as regras no novo grupo de regras  | Foi adicionado o grupo de regras AWSManagedRulesACFPRuleSet.  | 2023-06-13 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.2 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção.   | 2023-05-22 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.6 desse grupo de regras.  O cross-site scripting (XSS) e as regras de extensão restritas foram atualizados para melhorar a detecção e reduzir os falsos positivos.  | 2023-04-28 | 
| [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.0 desse grupo de regras.  Assinaturas adicionadas para melhorar a detecção em todas as regras.  A regra `PHPHighRiskMethodsVariables_QUERYARGUMENTS` foi substituída por `PHPHighRiskMethodsVariables_QUERYSTRING`, que inspeciona toda a sequência de caracteres de consulta em vez de apenas os argumentos da consulta.  Foi adicionada a regra `PHPHighRiskMethodsVariables_HEADER` para expandir a cobertura para incluir todos os cabeçalhos. Os rótulos a seguir foram atualizados para se alinharem com o rótulo padrão de regras AWS gerenciadas: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | 2023-02-27 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Foram adicionadas regras de inspeção de respostas de login para uso com CloudFront distribuições protegidas da Amazon. Essas regras podem bloquear novas tentativas de login de endereços IP e sessões de clientes que recentemente foram a fonte de muitas tentativas de login malsucedidas.  | 2023-02-15 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.5 desse grupo de regras.  Filtros de Cross Site Scripting (XSS) atualizados para melhorar a detecção.  | 2023-01-25 | 
| [Grupo de regras gerenciadas do sistema operacional Linux](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-linux-os) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 2.1 desse grupo de regras.  A regra `LFI_COOKIE` e seu rótulo `awswaf:managed:aws:linux-os:LFI_Cookie` foram removidos e substituídos pela nova regra `LFI_HEADER` e seu rótulo `awswaf:managed:aws:linux-os:LFI_Header`. Essa alteração expande a inspeção para vários cabeçalhos.  Foram adicionadas transformações de texto e assinaturas a todas as regras para melhorar a detecção.  | 2022-12-15 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.4 desse grupo de regras.  Foi adicionada uma transformação de texto para `NoUserAgent_HEADER` para remover todos os bytes nulos. Filtros nas regras de Cross Site Scripting (XSS) atualizados para melhorar a detecção.  | 2022-12-05 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.17 desse grupo de regras.  As regras de desserialização de Java foram atualizadas para adicionar detecção de solicitações correspondentes ao CVE-2022-42889 da Apache, uma vulnerabilidade de execução remota de código (RCE) nas versões do Apache Commons Text anteriores à 1.10.0. Para obter mais informações, consulte [NIST: National Vulnerability Database: CVE-2022-42889 Detail](https://nvd.nist.gov/vuln/detail/CVE-2022-42889) e [CVE-2022-42889: Apache Commons Text prior to 1.10.0 allows RCE when applied to untrusted input due to insecure interpolation defaults](https://lists.apache.org/thread/n2bd4vdsgkqh2tm14l1wyc3jyol7s1om). Detecção aprimorada em `Host_localhost_HEADER`. | 2022-10-20 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.16 desse grupo de regras.  Foram removidos os falsos positivos AWS identificados na versão 1.15. | 2022-10-05 | 
| [Grupo de regras gerenciadas do sistema operacional POSIX](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-posix-os) [Grupo de regras gerenciadas do aplicativo PHP](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-php-app)  [WordPress grupo de regras gerenciado por aplicativos](aws-managed-rule-groups-use-case.md#aws-managed-rule-groups-use-case-wordpress-app)   | Foram corrigidos os nomes dos rótulos documentados.   | 2022-09-19 | 
| [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Essa alteração não altera a forma como o grupo de regras lida com o tráfego da web. Foi adicionada uma nova regra com a Count ação de inspecionar endereços IP que estão ativamente envolvidos em atividades DDo S, de acordo com a inteligência de ameaças da Amazon.  | 2022-08-30 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão estática 1.15 desse grupo de regras.  `Log4JRCE` foi removido e substituído por `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` e `Log4JRCE_BODY`, para um monitoramento e gerenciamento mais granulares de falsos positivos.  Assinaturas adicionadas para melhorar a detecção e o bloqueio de `PROPFIND_METHOD` e para todas as regras `JavaDeserializationRCE*` e `Log4JRCE*`.  Rótulos atualizados para corrigir a capitalização em `Host_localhost_HEADER` e em todas as regras `JavaDeserializationRCE*`.  Corrigida a descrição de `JavaDeserializationRCE_HEADER`. | 2022-08-22 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Foi adicionada uma regra para impedir o uso do grupo de regras gerenciadas de prevenção de apropriação de contas para o tráfego da web do grupo de usuários do Amazon Cognito.  | 2022-08-11 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)  | AWS tem expiração programada para as versões `Version_1.2` e `Version_2.0` do grupo de regras. As versões expirarão em 9 de setembro de 2022. Para saber mais sobre a expiração da versão, consulte [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md). | 2022-06-09 | 
| [Grupo de regras gerenciadas do conjunto de regras principais (CRS)](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-crs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.3 desse grupo de regras. Essa versão atualiza as assinaturas de correspondências nas regras `GenericLFI_URIPATH` e `GenericRFI_URIPATH`, para melhorar a detecção.  | 2022-05-24 | 
| [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | A regra `CategoryEmailClient` foi adicionada ao grupo de regras.  | 2022-04-06 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.14 desse grupo de regras. As quatro regras `JavaDeserializtionRCE` são movidas para o modo Block. | 2022-03-31 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.13 desse grupo de regras. A transformação de texto foi atualizada para as vulnerabilidades do Spring Core e do Cloud Function RCE. Essas regras estão no modo de contagem para coletar métricas e avaliar padrões correspondentes. O rótulo pode ser usado para bloquear solicitações em uma regra personalizada. Uma versão subsequente será implantada com essas regras no modo de bloqueio. | 2022-03-31 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.12 desse grupo de regras. Assinaturas adicionadas para as vulnerabilidades do Spring Core e do Cloud Function RCE. Essas regras estão no modo de contagem para coletar métricas e avaliar padrões correspondentes. O rótulo pode ser usado para bloquear solicitações em uma regra personalizada. Uma versão subsequente será implantada com essas regras no modo de bloqueio. As regras `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` e `Log4JRCE_BODY` foram removidas e substituídas pela regra `Log4JRCE`. | 2022-03-30 | 
| [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Atualizou a regra AWSManagedReconnaissanceList para alterar a ação de contagem para bloqueio.  | 2022-02-15 | 
| [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) Todas as regras no novo grupo de regras  | Foi adicionado o grupo de regras AWSManagedRulesATPRuleSet.  | 2022-02-11 | 
| [Grupo de regras gerenciadas de entradas nocivas conhecidas](aws-managed-rule-groups-baseline.md#aws-managed-rule-groups-baseline-known-bad-inputs)[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.9 desse grupo de regras. A regra `Log4JRCE` foi removida e substituída pelas regras `Log4JRCE_HEADER`, `Log4JRCE_QUERYSTRING`, `Log4JRCE_URI` e `Log4JRCE_BODY`, para flexibilidade no uso dessa funcionalidade. Assinaturas adicionadas para melhorar a detecção e o bloqueio. | 2022-01-28 | 
| Conjunto de regras principais (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançada a versão 2.0 desse grupo de regras. Para essas regras, sintonize as assinaturas de detecção para reduzir os falsos positivos. A transformação de texto `URL_DECODE` foi substituída pela transformação de texto duplo `URL_DECODE_UNI`. Foi adicionada a transformação de texto `HTML_ENTITY_DECODE`.  | 2022-01-10 | 
| Conjunto de regras principais (CRS) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Como parte do lançamento da versão 2.0 desse grupo de regras, foi adicionada a transformação de texto `URL_DECODE_UNI`. Removida a transformação de texto `URL_DECODE` de `RestrictedExtensions_URIPATH`.  | 2022-01-10 | 
| Banco de dados SQL [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  |  Lançada a versão 2.0 desse grupo de regras. A transformação de texto `URL_DECODE` foi substituída pela transformação de texto duplo `URL_DECODE_UNI` e a transformação de texto `COMPRESS_WHITE_SPACE` foi adicionada. Mais assinaturas de detecção foram adicionadas a `SQLiExtendedPatterns_QUERYARGUMENTS`. Inspeção de JSON adicionada a `SQLi_BODY`. A regra `SQLiExtendedPatterns_BODY` foi adicionada. A regra `SQLi_URIPATH` foi removida.  | 2022-01-10 | 
| Entradas nocivas conhecidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.8 da regra `Log4JRCE` para melhorar a inspeção de cabeçalhos e os critérios de correspondência. | 2021-12-17 | 
| Entradas nocivas conhecidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Lançada a versão 1.4 da regra `Log4JRCE` para ajustar os critérios de correspondência e inspecionar cabeçalhos adicionais. Lançada a versão 1.5 para ajustar os critérios de correspondência. | 2021-12-11 | 
| Entradas nocivas conhecidas [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/aws-managed-rule-groups-changelog.html)  | Foi adicionada a versão 1.2 da regra `Log4JRCE` em resposta ao problema de segurança recentemente divulgado no Log4j. Para saber mais, consulte o [CVE-2021-44228](https://www.cve.org/CVERecord?id=CVE-2021-44228). Essa regra inspeciona caminhos de URI comuns, strings de consulta, os primeiros 8 KB do corpo da solicitação e cabeçalhos comuns. A regra usa transformações duplas de texto `URL_DECODE_UNI`. Lançada a versão 1.3 de `Log4JRCE` para ajustar os critérios de correspondência e inspecionar cabeçalhos adicionais.  A regra `BadAuthToken_COOKIE_AUTHORIZATION` foi removida.  | 2021-12-10 | 

A tabela a seguir lista as alterações anteriores a dezembro de 2021. 


| Grupos de regras e regras | Description | Data | 
| --- | --- | --- | 
| Lista de reputação de IP da Amazon | `AWSManagedReconnaissanceList` | Foi adicionada a regra AWSManagedReconnaissanceList no modo de monitoramento/contagem. Essa regra contém endereços IP que estão realizando reconhecimento em relação aos recursos. AWS  | 2021-11-23 | 
| Sistema operacional Windows |  `WindowsShellCommands` `PowerShellCommands`  |  Foram adicionadas três novas regras para WindowsShell comandos: `WindowsShellCommands_COOKIE``WindowsShellCommands_QUERYARGUMENTS`, `WindowsShellCommands_BODY` e. Foi adicionada uma nova PowerShell regra:`PowerShellCommands_COOKIE`. A nomenclatura das regras `PowerShellComands` foi reestruturada com a remoção das strings \$1Set1 e \$1Set2. Adicionadas assinaturas de detecção mais abrangentes a `PowerShellRules`. Adicionada a transformação de texto `URL_DECODE_UNI` a todas as regras do sistema operacional Windows.  | 2021-11-23 | 
| Sistema operacional Linux |  `LFI_URIPATH` `LFI_QUERYSTRING` `LFI_BODY` `LFI_COOKIE`  |  Substituída a transformação dupla de texto `URL_DECODE` por `URL_DECODE_UNI` dupla. Adicionado `NORMALIZE_PATH_WIN` como uma segunda transformação de texto. Substituída a regra `LFI_BODY` pela regra `LFI_COOKIE`. Foram adicionadas assinaturas de detecção mais abrangentes para todas as regras `LFI`.  | 2021-11-23 | 
| Conjunto de regras principais (CRS) |  `SizeRestrictions_BODY`  | Reduzido o limite de tamanho para bloquear solicitações da web com cargas corporais maiores que 8 KB. Anteriormente, o limite era de 10 KB.  | 2021-10-27 | 
| Conjunto de regras principais (CRS) |  `EC2MetaDataSSRF_BODY` `EC2MetaDataSSRF_COOKIE` `EC2MetaDataSSRF_URIPATH` `EC2MetaDataSSRF_QUERYARGUMENTS`  | Adicionadas mais assinaturas de detecção. Adicionada a decodificação dupla de URL Unicode para melhorar o bloqueio.  | 2021-10-27 | 
| Conjunto de regras principais (CRS) |  `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` `RestrictedExtensions_URIPATH` `RestrictedExtensions_QUERYARGUMENTS`  | Adicionada a decodificação dupla de URL Unicode para melhorar o bloqueio.  | 2021-10-27 | 
| Conjunto de regras principais (CRS) |  `GenericRFI_QUERYARGUMENTS` `GenericRFI_BODY` `GenericRFI_URIPATH`  | As assinaturas de regras foram atualizadas para reduzir os falsos positivos, com base no feedback dos clientes. Adicionada a decodificação dupla de URL Unicode para melhorar o bloqueio.  | 2021-10-27 | 
| Todos | Todas as regras | Foi adicionado suporte para AWS WAF rótulos a todas as regras que ainda não eram compatíveis com rótulos.  | 2021-10-25 | 
| Lista de reputação de IP da Amazon | `AWSManagedIPReputationList_xxxx` | Reestruturou a lista de reputação de IP, removeu sufixos do nome da regra e adicionou suporte para AWS WAF rótulos.  | 2021-05-04 | 
| Lista de IPs anônimos | `AnonymousIPList` `HostingProviderList` | Foi adicionado suporte para AWS WAF rótulos.  | 2021-05-04 | 
| Controle de Bots | Todos | Foi adicionado o conjunto de regras do Controle de Bots.  | 2021-04-01 | 
| Conjunto de regras principais (CRS) | `GenericRFI_QUERYARGUMENTS`  | Adicionada a decodificação dupla de URL.  | 2021-03-03 | 
| Conjunto de regras principais (CRS) | `RestrictedExtensions_URIPATH`  | Melhoria da configuração das regras e adição de uma decodificação de URL extra.  | 2021-03-03 | 
| Proteção do administrador | `AdminProtection_URIPATH`  | Adicionada a decodificação dupla de URL.  | 2021-03-03 | 
| Entradas nocivas conhecidas | `ExploitablePaths_URIPATH`  | Melhoria da configuração das regras e adição de uma decodificação de URL extra.  | 2021-03-03 | 
| Sistema operacional Linux | `LFI_QUERYARGUMENTS`  | Melhoria da configuração das regras e adição de uma decodificação de URL extra.  | 2021-03-03 | 
| Sistema operacional Windows | Todos | A configuração das regras foi aprimorada.  | 2020-09-23 | 
| Aplicativo PHP | `PHPHighRiskMethodsVariables_QUERYARGUMENTS` `PHPHighRiskMethodsVariables_BODY`  | Alteração da transformação de texto de decodificação de HTML para decodificação de URL, para melhorar o bloqueio.  | 2020-09-16 | 
| Sistema operacional POSIX | `UNIXShellCommandsVariables_QUERYARGUMENTS` `UNIXShellCommandsVariables_BODY`  | Alteração da transformação de texto de decodificação de HTML para decodificação de URL, para melhorar o bloqueio.  | 2020-09-16 | 
| Conjunto de regras principais | `GenericLFI_QUERYARGUMENTS` `GenericLFI_URIPATH` GenericLFI\$1BODY  | Alteração da transformação de texto de decodificação de HTML para decodificação de URL, para melhorar o bloqueio.  | 2020-08-07 | 
| Sistema operacional Linux | `LFI_URIPATH` `LFI_QUERYARGUMENTS` `LFI_BODY`  | Alteração da transformação de texto de decodificação de entidade HTML para decodificação de URL, para melhorar a detecção e o bloqueio.  | 2020-05-19 | 
| Lista de IPs anônimos | Todos | Novo grupo de regras em [Grupos de regras de reputação de IP](aws-managed-rule-groups-ip-rep.md) para bloquear solicitações de serviços que permitem a ofuscação da identidade do visualizador, a fim de ajudar a mitigar bots e evasão de restrições geográficas.  | 2020-03-06 | 
| WordPress aplicação | `WordPressExploitableCommands_QUERYSTRING`  | Nova regra que verifica comandos exploráveis na string de consulta. | 2020-03-03 | 
| Conjunto de regras principais (CRS) | `SizeRestrictions_QUERYSTRING` `SizeRestrictions_Cookie_HEADER` `SizeRestrictions_BODY` `SizeRestrictions_URIPATH`  | Ajuste das restrições de valor de tamanho para maior precisão.  | 2020-03-03 | 
| Banco de dados SQL | `SQLi_URIPATH`  | Agora, as regras verificam o URI da mensagem. | 2020-01-23 | 
| Banco de dados SQL | `SQLi_BODY` `SQLi_QUERYARGUMENTS` `SQLi_COOKIE`  | Atualizações de transformações de texto. | 2019-12-20 | 
| Conjunto de regras principais (CRS) | `CrossSiteScripting_URIPATH` `CrossSiteScripting_BODY` `CrossSiteScripting_QUERYARGUMENTS` `CrossSiteScripting_COOKIE`  | Atualizações de transformações de texto. | 2019-12-20 | 

# Gerenciar seus próprios grupos de regras
<a name="waf-user-created-rule-groups"></a>

Você pode criar seu próprio grupo de regras para reutilizar coleções de regras que você não encontra nas ofertas de grupos de regras gerenciadas ou que você mesmo prefere manipular. 

Os grupos de regras que você cria retém as regras da mesma forma que um pacote de proteção (ACL da Web) faz, e você adiciona regras a um grupo de regras da mesma forma como faz a um pacote de proteção (ACL da Web). Ao criar seu próprio grupo de regras, você deve definir uma capacidade máxima imutável para ele. 

**Topics**
+ [

# Criar um grupo de regras
](waf-rule-group-creating.md)
+ [

# Como editar um grupo de regras
](waf-rule-group-editing.md)
+ [

# Usar o seu grupo de regras em um pacote de proteção (ACL da Web)
](waf-rule-group-using.md)
+ [

# Excluir um grupo de regras
](waf-rule-group-deleting.md)
+ [

# Como compartilhar um grupo de regras
](waf-rule-group-sharing.md)

# Criar um grupo de regras
<a name="waf-rule-group-creating"></a>

Para criar um novo grupo de regras, siga o procedimento descrito nesta página. 

**Para criar um grupo de regras**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, selecione **Rule groups (Grupos de regras)**, e, em seguida, **Create rule group (Criar grupo de regras)**. 

1. Insira um nome e uma descrição para o grupo de regras. Você usará essas informações para identificar o conjunto de regras a fim de gerenciá-lo e usá-lo. 

   Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md). 
**nota**  
Você não pode alterar o nome depois de criar o grupo de regras.

1. Para **Region (Região)**, escolha a região onde deseja armazenar o grupo de regras. Para usar um grupo de regras em pacotes de proteção (web ACLs) que protegem CloudFront as distribuições da Amazon, você deve usar a configuração global. Você também pode usar a configuração global para aplicações regionais.

1. Escolha **Próximo**.

1. Adicione regras ao grupo de regras usando o assistente **Construtor de regras** da mesma forma que você faz no gerenciamento de pacote de proteção (ACL da Web). A única diferença é que você não pode adicionar um grupo de regras a outro grupo de regras. 

1. Em **Capacidade**, defina o máximo para o uso das unidades de capacidade () do pacote de proteção (Web ACL) pelo grupo de regras. WCUs Essa é uma configuração imutável. Para obter informações sobre WCUs, consulte[Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md). 

   À medida que você adiciona regras ao grupo de regras, o painel **Add rules and set capacity (Adicionar regras e definir capacidade)** exibe a capacidade mínima necessária, que se baseia nas regras que você já adicionou. Você pode usar isso e seus planos futuros para o grupo de regras a fim de ajudar a estimar a capacidade que o grupo de regras exigirá. 

1. Revise as configurações do grupo de regras e selecione **Create (Criar)**.

# Como editar um grupo de regras
<a name="waf-rule-group-editing"></a>

Para adicionar ou remover regras de um grupo de regras ou alterar as configurações, acesse o grupo de regras usando o procedimento desta página. 

**Risco de tráfego de produção**  
Se você alterar um grupo de regras que está usando atualmente em um pacote de proteção (ACL da Web), essas alterações afetarão o comportamento do pacote de proteção (ACL da Web) onde quer que ele esteja sendo usado. Certifique-se de testar e ajustar todas as alterações em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**Para editar um grupo de regras**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Grupos de regras**.

1. Escolha o nome do grupo de regras que você deseja editar. O console leva você à página do grupo de regras. 
**nota**  
Se você não vê o grupo de regras que você deseja editar, verifique a seleção de região na seção **Grupos de regras**. Para grupos de regras usados para proteger CloudFront as distribuições da Amazon, use a configuração **Global (CloudFront)**. 

1. Edite o grupo de regras, conforme necessário. Você pode editar as propriedades mutáveis do grupo de regras, da mesma forma que você fez durante a criação. O console salva suas alterações à medida que você avança.
**nota**  
Se você alterar o nome de uma regra e quiser que o nome da métrica da regra reflita a alteração, você também deverá atualizar o nome da métrica. AWS WAF não atualiza automaticamente o nome da métrica de uma regra quando você altera o nome da regra. Você pode alterar o nome da métrica ao editar a regra no console, usando o editor JSON de regras. Você também pode alterar os dois nomes por meio de APIs e em qualquer listagem JSON usada para definir seu pacote de proteção (Web ACL) ou grupo de regras.

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

# Usar o seu grupo de regras em um pacote de proteção (ACL da Web)
<a name="waf-rule-group-using"></a>

Para usar um grupo de regras em um pacote de proteção (ACL da Web), você o adiciona ao pacote de proteção (ACL da Web) em uma instrução de referência do grupo de regras. 

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para usar um grupo de regras**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Grupos de regras**.

1. Escolha o nome do grupo de regras que você deseja usar.

1. Escolha **Adicionar regras** e, em seguida, escolha **Adicionar minhas próprias regras e grupos de regras**.

1. Em seguida, escolha **Grupo de regras** e selecione seu grupo de regras na lista. 

No pacote de proteção (ACL da Web), você pode alterar o comportamento de um grupo de regras e suas regras definindo as ações de regras individuais como Count ou qualquer outra ação. Isso pode ajudar você a fazer coisas como testar um grupo de regras, identificar falsos positivos de regras em um grupo de regras e personalizar como um grupo de regras gerenciadas lida com suas solicitações. Para saber mais, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 

Se o grupo de regras contiver uma instrução baseada em taxa, cada pacote de proteção (ACL da Web) onde você usa o grupo de regras terá seu próprio acompanhamento e gerenciamento de taxa para a regra baseada em taxas, independente de qualquer outro pacote de proteção (ACL da Web) no qual você use o grupo de regras. Para saber mais, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

# Excluir um grupo de regras
<a name="waf-rule-group-deleting"></a>

Siga as orientações nesta seção para excluir um grupo de regras.

**Como excluir um conjunto e grupo de regras refenciados**  
Quando você exclui uma entidade que pode ser usada em um pacote de proteção (Web ACL), como um conjunto de IP, conjunto de padrões regex ou grupo de regras, AWS WAF verifica se a entidade está sendo usada atualmente em um pacote de proteção (Web ACL). Se descobrir que está em uso, AWS WAF avisa você. AWS WAF quase sempre é capaz de determinar se uma entidade está sendo referenciada por um pacote de proteção (web ACL). No entanto, em casos raros, talvez não seja possível fazer isso. Se você precisar ter certeza de que nada está usando a entidade no momento, verifique-a em seus pacotes de proteção (web ACLs) antes de excluí-la. Se a entidade for um conjunto referenciado, verifique também se nenhum grupo de regras está utilizando-a.

**Para excluir um grupo de regras**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Grupos de regras**.

1. Escolha o grupo de regras que você deseja excluir e, em seguida, selecione **Delete (Excluir)**.
**nota**  
Se você não vê o grupo de regras que você deseja excluir, verifique a seleção de região na seção **Grupos de regras**. Para grupos de regras usados para proteger CloudFront as distribuições da Amazon, use a configuração **Global (CloudFront)**. 

# Como compartilhar um grupo de regras
<a name="waf-rule-group-sharing"></a>

Você pode compartilhar um grupo de regras com outras contas, para ser usado por essas contas. 

**Como compartilhar um grupo de regras**  
Você pode compartilhar com uma ou mais contas específicas e com todas as contas em uma organização. 

Para compartilhar um grupo de regras, você usa a AWS WAF API para criar uma política para o compartilhamento do grupo de regras que você deseja. Para obter mais informações, consulte [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html) na *Referência de APIs do AWS WAF *.

**Como usar um grupo de regras que foi compartilhado com você**  
Se um grupo de regras tiver sido compartilhado com sua conta, você poderá acessá-lo por meio da API e referenciá-lo ao criar ou atualizar seus pacotes de proteção (web ACLs) por meio da API. Para obter mais informações [GetRuleGroup](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetRuleGroup.html), consulte [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) e [UpdateWebACL na Referência](https://docs.aws.amazon.com/waf/latest/APIReference/API_UpdateWebACL.html) da *AWS WAF API*. Os grupos de regras que são compartilhados com você não aparecem na lista de grupos de regras AWS WAF do console. 

# AWS Marketplace grupos de regras
<a name="marketplace-rule-groups"></a>

Esta seção explica como usar grupos de AWS Marketplace regras.

AWS Marketplace os grupos de regras estão disponíveis por assinatura por meio do AWS Marketplace console em [AWS Marketplace](https://aws.amazon.com/marketplace). Depois de se inscrever em um grupo de AWS Marketplace regras, você pode usá-lo em AWS WAF. Para usar um grupo de AWS Marketplace regras em uma AWS Firewall Manager AWS WAF política, cada conta em sua organização deve se inscrever nele. 

**Você pode se inscrever em diferentes tipos de grupos de regras por meio de AWS Marketplace:**
+ AWS WAF grupos de regras gerenciados por parceiros
+ Proteções do lado do cliente

Teste e ajuste todas as alterações em suas AWS WAF proteções antes de usá-las para tráfego de produção. Para mais informações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**AWS Marketplace Preços do Rule Group**  
AWS Marketplace grupos de regras estão disponíveis sem contratos de longo prazo e sem compromissos mínimos. Quando você se inscreve em um grupo de regras, é cobrada uma taxa mensal (proporcional por hora) e taxas de solicitações contínuas com base no volume. No entanto, você só paga a taxa de assinatura quando adiciona o grupo de regras inscrito a uma ACL da web e começa a usá-la. Para obter mais informações, consulte [AWS WAF Preços](https://aws.amazon.com/waf/pricing/) e a descrição de cada grupo de AWS Marketplace regras em [AWS Marketplace](https://aws.amazon.com/marketplace).

**Tem dúvidas sobre um grupo de AWS Marketplace regras?**  
Para perguntas sobre um grupo de regras gerenciado por um AWS Marketplace vendedor e para solicitar alterações na funcionalidade, entre em contato com a equipe de suporte ao cliente do fornecedor. Para encontrar informações de contato, consulte a lista do provedor em [AWS Marketplace](https://aws.amazon.com/marketplace).

O provedor do grupo de AWS Marketplace regras determina como gerenciar o grupo de regras, por exemplo, como atualizar o grupo de regras e se o grupo de regras tem versão. O provedor também determina os detalhes do grupo de regras, incluindo as regras, as ações das regras e quaisquer rótulos que as regras adicionem às solicitações da web correspondentes. 

## Inscrever-se em grupos de AWS Marketplace regras
<a name="marketplace-rule-groups-subscribing"></a>

Você pode se inscrever e cancelar a inscrição em grupos de AWS Marketplace regras no AWS WAF console. 

**Importante**  
Para usar um grupo de AWS Marketplace regras em uma AWS Firewall Manager política, cada conta em sua organização deve primeiro se inscrever nesse grupo de regras. 

**Para se inscrever em um grupo de AWS Marketplace regras**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Proteções complementares**.

1. Na seção **AWS Marketplace**, escolha o nome de um grupo de regras para visualizar os detalhes e as informações de preço.
**dica**  
Use os filtros para classificar rapidamente segundo as regras nas quais você está mais interessado. Por exemplo, você pode usar o filtro **Categoria** para visualizar somente as proteções do lado do cliente.

1. Para se inscrever em um grupo de AWS Marketplace regras: 

   1. Navegue até um grupo de regras e escolha **Assinar via Marketplace**.

   1. Na página do Marketplace que se abre, escolha **Visualizar opções de compra** e, em seguida, escolha **Assinar**.
**nota**  
Se você decidir não assinar no grupo de regras, basta fechar o pop-up.

Depois de se inscrever em um grupo de AWS Marketplace regras, você o usa em seus pacotes de proteção (web ACLs) da mesma forma que faz com outros grupos de regras gerenciados. Para mais informações, consulte [Criando um pacote de proteção (web ACL) no AWS WAF](web-acl-creating.md). 

Ao adicionar um grupo de regras a um pacote de proteção (ACL da Web), você pode modificar as ações das regras no grupo de regras e do resultado do grupo de regras. Para obter mais informações, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 

## Cancelando a assinatura de grupos de regras AWS Marketplace
<a name="marketplace-rule-groups-unsubscribing"></a>

Você pode cancelar a assinatura de grupos de AWS Marketplace regras no AWS Marketplace console.

**Importante**  
Para interromper as cobranças de assinatura de um grupo de AWS Marketplace regras, você deve removê-lo de todos os pacotes de proteção (web ACLs) em AWS WAF e em qualquer AWS WAF política do Firewall Manager, além de cancelar sua assinatura. Se você cancelar a assinatura de um grupo de AWS Marketplace regras, mas não removê-lo de seus pacotes de proteção (web ACLs), você continuará sendo cobrado pela assinatura. 

**Para cancelar a assinatura de um grupo de AWS Marketplace regras**

1. Remova o grupo de regras de todos os pacotes de proteção (web ACLs). Para obter mais informações, consulte [Editando um pacote de proteção (web ACL) no AWS WAF](web-acl-editing.md).

1. Abra o AWS console em [https://console.aws.amazon.com/marketplace.](https://console.aws.amazon.com/marketplace)

   A página **Gerenciar assinaturas** é exibida.

1. Abra a lista **Métodos de entrega** e escolha **SaaS**.

1. Em **Contrato**, abra a **Lista de ações** e escolha **Cancelar assinatura** ao lado do nome do grupo de regras cuja assinatura você deseja cancelar.

1. Na caixa de diálogo **Cancelar assinatura**, insira**confirm** e escolha **Sim, cancelar assinatura**.

## Solução de problemas de grupos de AWS Marketplace regras
<a name="waf-managed-rule-group-troubleshooting"></a>

Se você descobrir que um grupo de AWS Marketplace regras está bloqueando o tráfego legítimo, você pode solucionar o problema executando as etapas a seguir.

**Para solucionar problemas de um grupo de AWS Marketplace regras**

1. Substitua as ações para contar com as regras que estão bloqueando o tráfego legítimo. Você pode identificar quais regras estão bloqueando solicitações específicas usando os AWS WAF exemplos de solicitações ou AWS WAF registros. Você pode identificar as regras examinando o campo `ruleGroupId` no log ou o `RuleWithinRuleGroup` na solicitação de amostra. Você pode identificar a regra no padrão `<Seller Name>#<RuleGroup Name>#<Rule Name>`. 

1. Se definir regras específicas para contar apenas as solicitações não resolver o problema, você poderá substituir todas as ações da regra ou alterar a ação do próprio grupo de AWS Marketplace regras de **Sem substituição para **Substituir**** para contar. Isso permite que a solicitação da web passe, independentemente das ações de regra individuais dentro do grupo de regras. 

1. Depois de ignorar a ação de regra individual ou a ação de todo o grupo de AWS Marketplace regras, entre em contato com a equipe de suporte ao cliente do provedor do grupo de regras para solucionar o problema. Para obter informações de contato, consulte a lista de grupos de regras nas páginas de lista de produtos no AWS Marketplace.

### Contatando AWS o suporte
<a name="waf-managed-rule-group-troubleshooting-support"></a>

Para problemas com AWS WAF ou com um grupo de regras gerenciado por AWS, entre em contato com AWS Support. Para problemas com um grupo de regras gerenciado por um AWS Marketplace vendedor, entre em contato com a equipe de suporte ao cliente do fornecedor. Para encontrar informações de contato, consulte a listagem do provedor em AWS Marketplace.

# Como reconhecer grupos de regras fornecidos por outros serviços
<a name="waf-service-owned-rule-groups"></a>

Se você ou um administrador da sua organização usa AWS Firewall Manager ou AWS Shield Advanced gerencia proteções de recursos usando AWS WAF, talvez você veja declarações de referência de grupos de regras adicionadas aos pacotes de proteção (web ACLs) em sua conta. 

Os nomes desses grupos de regras começam com as seguintes sequências de caracteres: 
+ **`ShieldMitigationRuleGroup`**— Esses grupos de regras são gerenciados AWS Shield Advanced e usados para fornecer mitigação automática da camada DDo S do aplicativo aos recursos protegidos da camada de aplicativo (camada 7). 

  Quando você ativa a mitigação automática da camada DDo S do aplicativo para um recurso protegido, o Shield Advanced adiciona um desses grupos de regras ao pacote de proteção (Web ACL) que você associou ao recurso. O Shield Advanced atribui à instrução de referência do grupo de regras uma configuração de prioridade de 10.000.000, para que ela seja executada após as regras que você configurou no pacote de proteção (ACL da Web). Para saber mais sobre esses grupos de regras, consulte [Automatizando a mitigação da camada DDo S do aplicativo com o Shield Advanced](ddos-automatic-app-layer-response.md).
**Atenção**  
Não tente gerenciar manualmente esse grupo de regras no pacote de proteção (ACL da Web). Em especial, não exclua manualmente a instrução de referência do grupo de regras `ShieldMitigationRuleGroup` do pacote de proteção (ACL da Web). Fazer isso pode ter consequências não desejadas para todos os recursos associados ao pacote de proteção (ACL da Web). Em vez disso, use o Shield Advanced para desabilitar a mitigação automática dos recursos que estão associados ao pacote de proteção (ACL da Web). O Shield Advanced removerá o grupo de regras para você quando ele não for necessário para a mitigação automática.
+ **`PREFMManaged`e `POSTFMManaged`** — Esses grupos de regras são gerenciados AWS Firewall Manager com base nas configurações de AWS WAF política do Firewall Manager. O Firewall Manager fornece esses grupos de regras dentro dos pacotes de proteção (web ACLs) gerenciados pelo Firewall Manager. 

  O Firewall Manager cria pacotes de proteção (web ACLs) para você com nomes que começam com`FMManagedWebACLV2`. Você também pode configurar o Firewall Manager para modernizar seus pacotes de proteção existentes (web ACLs). Os nomes dos pacotes de proteção (ACLs da Web) são os que você especificou ao criá-los. Em ambos os casos, o Firewall Manager adicionará esses grupos de regras aos pacotes de proteção (ACLs da Web). Para saber mais, consulte [Usando AWS WAF políticas com o Firewall Manager](waf-policies.md).

# Unidades de capacidade do Web ACL (WCUs) em AWS WAF
<a name="aws-waf-capacity-units"></a>

Esta seção explica o que são as unidades de capacidade da Web ACL (WCUs) e como elas funcionam.

AWS WAF usa WCUs para calcular e controlar os recursos operacionais necessários para executar suas regras, grupos de regras e a web ACLs. AWS WAF impõe limites de WCU quando você configura seus grupos de regras e a web. ACLs WCUs não afetam a forma como AWS WAF inspeciona o tráfego da web. 

AWS WAF gerencia a capacidade de regras, grupos de regras e web ACLs. 

**Regra WCUs**  
AWS WAF calcula a capacidade da regra quando você cria ou atualiza uma regra. AWS WAF calcula a capacidade de forma diferente para cada tipo de regra, para refletir o custo relativo de cada regra. Regras simples que custam pouco para serem executadas usam WCUs menos do que regras mais complexas que usam mais poder de processamento. Por exemplo, uma instrução de regra de restrição de tamanho usa WCUs menos do que uma instrução que inspeciona solicitações usando um conjunto de padrões regex. 

Os requisitos de capacidade da regra geralmente começam com um custo base para o tipo de regra e aumentam com a complexidade, por exemplo, quando você adiciona transformações de texto antes da inspeção ou se inspeciona o corpo do JSON. Para saber mais sobre os requisitos de capacidade das regras, consulte as listas das instruções de regras em [Usando declarações de regras em AWS WAF](waf-rule-statements.md). 

**Grupo de regras WCUs**  
Os requisitos de WCU para um grupo de regras são determinados pelas regras que você define dentro do grupo de regras. A capacidade máxima para um grupo de regras é 5.000 WCUs. 

Cada grupo de regras tem uma configuração de capacidade imutável, que o proprietário atribui na criação. Isso vale para grupos de regras gerenciados e grupos de regras que você cria por meio de AWS WAF. Quando você modifica um grupo de regras, suas alterações devem manter o grupo de regras WCUs dentro de sua capacidade. Isso garante que os pacotes de proteção (web ACLs) ou web ACLs que estão usando o grupo de regras permaneçam dentro de seus requisitos de capacidade. 

Os WCUs que estão em uso em um grupo de regras são a WCUs soma das regras menos quaisquer otimizações de processamento que possam ser AWS WAF obtidas combinando o comportamento das regras. Por exemplo, se você definir duas regras para examinar o mesmo componente de solicitação da web e cada uma aplicar uma transformação específica ao componente antes de inspecioná-lo, AWS WAF talvez seja possível cobrar apenas uma vez pela aplicação da transformação. O custo de WCU para o uso de um grupo de regras em um pacote de proteção (ACL da Web) é sempre a configuração fixa de WCUs definida na criação do grupo de regras. 

Ao criar um grupo de regras, defina uma capacidade alta o suficiente para acomodar as regras que você deseja usar durante toda a vida útil do grupo de regras. 

**Pacote de proteção ou Web ACL WCUs**  
Os requisitos de WCU para um pacote de proteção (ACL da Web) são determinados pelas regras e grupos de regras usados dentro do pacote de proteção (ACL da Web). 
+ O custo de usar um grupo de regras em um pacote de proteção (ACL da Web) é a configuração da capacidade do grupo de regras. 
+ O custo do uso de uma regra é o calculado pela regra WCUs menos quaisquer otimizações de processamento que possam ser AWS WAF obtidas da combinação de regras do pacote de proteção (Web ACL). Por exemplo, se você definir duas regras para examinar o mesmo componente de solicitação da web e cada uma aplicar uma transformação específica ao componente antes de inspecioná-lo, AWS WAF talvez seja possível cobrar apenas uma vez pela aplicação da transformação. 

O preço básico de um pacote de proteção (web ACL) inclui até 1.500 WCUs. O uso de mais de 1.500 WCUs incorre em taxas adicionais, de acordo com um modelo de preços escalonado. AWS WAF ajusta automaticamente o preço do pacote de proteção (web ACL) à medida que o uso da WCU do pacote de proteção (web ACL) muda. Para obter detalhes sobre os preços, consulte [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/). 

A capacidade máxima de um pacote de proteção (web ACL) é 5.000 WCUs. 

## Determinando o WCUs para um grupo de regras, pacote de proteção (Web ACL) ou Web ACL
<a name="aws-waf-capacity-units-used"></a>

Conforme observado nas seções anteriores, o total WCUs usado em um grupo de regras, pacote de proteção (web ACL) ou web ACL será igual *ou menor que* a soma de todas as regras definidas no grupo de regras, pacote de proteção (web ACL) ou web ACL. WCUs 

No AWS WAF console, você pode ver a capacidade consumida ao adicionar regras ao seu pacote de proteção (Web ACL), Web ACL ou grupo de regras. O console exibe as unidades de capacidade atual usadas à medida que você adiciona as regras. 

Com a API, você pode verificar os requisitos de capacidade máxima para as regras que deseja usar em um pacote de proteção (ACL da Web), ACL da Web ou grupo de regras. Para fazer isso, forneça a lista JSON das regras para a chamada de verificação de capacidade. Para obter mais informações, consulte [CheckCapacity](https://docs.aws.amazon.com/waf/latest/APIReference/API_CheckCapacity.html)a *Referência da API AWS WAF V2*.

# Componentes de solicitação da web de tamanho grande em AWS WAF
<a name="waf-oversize-request-components"></a>

Essa seção explica como gerenciar os limites de tamanho para inspecionar o corpo, os cabeçalhos e os cookies da solicitação da Web no AWS WAF.

AWS WAF não suporta a inspeção de conteúdos muito grandes para o corpo, cabeçalhos ou cookies dos componentes da solicitação da web. O serviço host subjacente tem limites de contagem e tamanho para o que ele encaminha AWS WAF para inspeção. Por exemplo, o serviço de hospedagem não envia mais de 200 cabeçalhos para AWS WAF, portanto, para uma solicitação da web com 205 cabeçalhos, não é AWS WAF possível inspecionar os últimos 5 cabeçalhos. 

Quando AWS WAF permite que uma solicitação da Web prossiga para seu recurso protegido, toda a solicitação da Web é enviada, incluindo qualquer conteúdo que esteja fora dos limites de contagem e tamanho que AWS WAF pudemos inspecionar. 

**Limites de tamanho de inspeção de componentes**  
Os limites de tamanho de inspeção de componentes são os seguintes: 
+ **`Body`e `JSON Body`** — Para Application Load Balancer and AWS AppSync, AWS WAF pode inspecionar os primeiros 8 KB do corpo de uma solicitação. Pois CloudFront, o API Gateway, o Amazon Cognito, o App Runner e o Verified Access, por padrão, AWS WAF podem inspecionar os primeiros 16 KB e você pode aumentar o limite em até 64 KB na configuração do pacote de proteção (web ACL). Para obter mais informações, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md). 
+ **`Headers`**— AWS WAF pode inspecionar no máximo os primeiros 8 KB (8.192 bytes) dos cabeçalhos da solicitação e, no máximo, os primeiros 200 cabeçalhos. O conteúdo está disponível para inspeção AWS WAF até o primeiro limite atingido. 

  Esses limites se aplicam quando você inspeciona todos os cabeçalhos em uma solicitação. Quando você inspeciona um único cabeçalho, AWS WAF pode inspecionar todo o conteúdo desse cabeçalho sem essas restrições de tamanho ou contagem.
+ **`Cookies`**— AWS WAF pode inspecionar no máximo os primeiros 8 KB (8.192 bytes) dos cookies de solicitação e no máximo os primeiros 200 cookies. O conteúdo está disponível para inspeção AWS WAF até o primeiro limite atingido. 

**Opções de tratamento de tamanho grande para suas instruções de regras**  
Ao escrever uma instrução de regra que inspeciona um desses tipos de componentes de solicitação, você especifica como lidar com componentes de tamanho grande. O tratamento de tamanho excessivo informa AWS WAF o que fazer com uma solicitação da Web quando o componente da solicitação que a regra inspeciona está acima dos limites de tamanho. 

As opções para o tratamento de tamanhos acima do limitesão as seguintes: 
+ **Continue**— Inspecione o componente da solicitação normalmente de acordo com os critérios de inspeção da regra. AWS WAF inspecionará o conteúdo do componente da solicitação que está dentro dos limites de tamanho. 
+ **Match**— Trate a solicitação da web como se correspondesse à declaração da regra. AWS WAF aplica a ação da regra à solicitação sem avaliá-la de acordo com os critérios de inspeção da regra. 
+ **No match**— Trate a solicitação da web como se não correspondesse à declaração da regra sem avaliá-la de acordo com os critérios de inspeção da regra. AWS WAF continua sua inspeção da solicitação da web usando o resto das regras no pacote de proteção (web ACL), como faria com qualquer regra não correspondente. 

No AWS WAF console, você precisa escolher uma dessas opções de manuseio. Fora do console, a opção padrão é Continue. 

Se você usar a opção Match em uma regra que tenha sua ação definida como Block, a regra bloqueará uma solicitação cujo componente inspecionado seja muito grande. Com qualquer outra configuração, a disposição final da solicitação depende de vários fatores, como a configuração das outras regras no pacote de proteção (ACL da Web) e a configuração de ação padrão do pacote de proteção (ACL da Web). 

**Tratamento de tamanho grande em grupos de regras que você não possui**  
As limitações de tamanho e contagem de componentes se aplicam a todas as regras que você usa no pacote de proteção (ACL da Web). Isso inclui todas as regras que você usa, mas não gerencia, em grupos de regras gerenciadas e em grupos de regras que são compartilhados com você por outra conta. 

Quando você usa um grupo de regras que você não gerencia, o grupo de regras pode ter uma regra que inspeciona um componente de solicitação limitado, mas que não processa conteúdos de tamanho grande da maneira que você precisa que eles sejam tratados. Para obter informações sobre como as regras AWS gerenciadas gerenciam componentes de grande porte, consulte[AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md). Para obter informações sobre outros grupos de regras, pergunte ao seu provedor de grupos de regras.

**Diretrizes para gerenciar componentes de tamanho grande no pacote de proteção (ACL da Web)**  
A maneira como você lida com componentes de tamanho grande no pacote de proteção (ACL da Web) pode depender de vários fatores, como o tamanho esperado de conteúdo do componente da solicitação, o tratamento padrão da solicitação do pacote de proteção (ACL da Web) e como outras regras no pacote de proteção (ACL da Web) correspondem e tratam as solicitações. 

As diretrizes gerais para gerenciar componentes de tamanho grande de solicitações da web são as seguintes: 
+ Se você precisar permitir algumas solicitações com conteúdo de componente de tamanho grande, se possível, adicione regras para permitir explicitamente somente essas solicitações. Priorize essas regras para que elas sejam executadas antes de qualquer outra regra no pacote de proteção (ACL da Web) que inspecione os mesmos tipos de componentes. Com essa abordagem, você não poderá usá-la AWS WAF para inspecionar todo o conteúdo dos componentes de tamanho grande que você permite passar para seu recurso protegido.
+ Para todas as outras solicitações, você pode impedir a passagem de bytes adicionais bloqueando as solicitações que ultrapassam o limite: 
  + **Suas regras e grupos de regras**: nas regras que inspecionam componentes com limites de tamanho, configure o tratamento de tamanho grande para bloquear solicitações que ultrapassem o limite. Por exemplo, se sua regra bloquear solicitações com conteúdo de cabeçalho específico, defina o tratamento de tamanho grande para corresponder às solicitações com conteúdo de cabeçalho grande. Como alternativa, se o pacote de proteção (ACL da Web) bloquear solicitações por padrão e sua regra permitir conteúdos de cabeçalho específicos, configure o tratamento de tamanho grande da regra para não corresponder a nenhuma solicitação com conteúdo de cabeçalho de tamanho grande. 
  + **Grupos de regras que você não gerencia**: para evitar que grupos de regras que você não gerencia permitam componentes de solicitação de tamanho grande, você pode adicionar uma regra separada que inspecione o tipo de componente da solicitação e bloqueie as solicitações que ultrapassam os limites. Priorize a regra no pacote de proteção (ACL da Web) para que ela seja executada antes dos grupos de regras. Por exemplo, você pode bloquear solicitações com conteúdo de corpo grande antes que qualquer uma das regras de inspeção de corpo seja executada no pacote de proteção (ACL da Web). O procedimento a seguir descreve como adicionar esse tipo de regra.

## Como bloquear componentes de solicitação da web de tamanho grande
<a name="waf-oversize-request-components-blocking"></a>

Você pode adicionar uma regra ao pacote de proteção (ACL da Web) que bloqueie componentes de solicitação de tamanho grande. 

**Para adicionar uma regra que bloqueie conteúdos grandes**

1. Ao criar ou editar o pacote de proteção (ACL da Web), nas configurações de regras, escolha **Adicionar regras**, **Adicionar minhas próprias regras e grupos de regras**, **Criador de regras** e **Editor visual de regras**. Para obter orientação sobre como criar ou editar um pacote de proteção (ACL da Web), consulte [Visualizando métricas de tráfego da web em AWS WAF](web-acl-working-with.md).

1. Insira um nome para sua regra e deixe a configuração **Tipo** em **Regra normal**. 

1. Altere as seguintes configurações de correspondência de seus padrões: 

   1. Em **Instrução**, para **Inspecionar**, abra a lista suspensa e escolha o componente de solicitação da web de que você precisa, seja **Corpo**, **Cabeçalhos** ou **Cookies**. 

   1. Para **Tipo de correspondência**, escolha **Tamanho maior que**. 

   1. Em **Tamanho**, digite um número que seja pelo menos o tamanho mínimo para o tipo de componente. Para cabeçalhos e cookies, digite `8192`. No Application Load Balancer ou nos pacotes de AWS AppSync proteção (web ACLs), para corpos, digite. `8192` Para corpos em CloudFront, API Gateway, Amazon Cognito, App Runner ou pacotes de proteção de acesso verificado (web ACLs), se você estiver usando o limite de tamanho corporal padrão, digite. `16384` Caso contrário, digite o limite de tamanho de corpo que você definiu para o pacote de proteção (ACL da Web). 

   1. Para **Tratamento de tamanhos grandes**, selecione **Corresponder**. 

1. Em **Ação**, selecione **Bloquear**.

1. Escolha **Adicionar regra**.

1. Depois de adicionar a regra, na página **Definir prioridade da regra**, mova-a acima de qualquer regra ou grupo de regras no pacote de proteção (ACL da Web) que inspecione o mesmo tipo de componente. Isso dá à nova regra uma configuração de prioridade numérica mais baixa, o que faz com que AWS WAF seja avaliada primeiro. Para obter mais informações, consulte [Definir prioridade das regras](web-acl-processing-order.md).

# Sintaxe de expressão regular suportada em AWS WAF
<a name="waf-regex-pattern-support"></a>

AWS WAF suporta a sintaxe do padrão de expressão regular usada pela biblioteca PCRE. `libpcre` A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). 

AWS WAF não suporta todas as construções da biblioteca. Por exemplo, ele suporta algumas afirmações de largura zero, mas não todas. Não temos uma lista abrangente das estruturas suportadas. No entanto, se você fornecer um padrão regex que não seja válido ou usar construções sem suporte, a AWS WAF API relatará uma falha. 

AWS WAF não suporta os seguintes padrões de PCRE: 
+ Referências reversas e subexpressões de captura
+ Referências de sub-rotina e padrões recursivos
+ Padrões condicionais
+ Verbos de controle de referência reversa
+ A diretiva de byte único \$1C
+ A diretiva de correspondência de nova linha \$1R
+ O início \$1K da diretiva de redefinição da correspondência
+ Callouts e códigos integrados
+ Agrupamento atômico e quantificadores possessivos

# Conjuntos de IP e conjuntos de padrões regex em AWS WAF
<a name="waf-referenced-set-managing"></a>

Esta seção apresenta os tópicos de conjuntos de IP e conjuntos de padrões regex.

AWS WAF armazena algumas informações mais complexas em conjuntos que você usa referenciando-os em suas regras. Cada um desses conjuntos tem um nome e recebe um Nome de recurso da Amazon (ARN) na criação. Você pode gerenciar esses conjuntos de dentro de suas instruções de regra e pode acessá-los e gerenciá-los por conta própria, através do painel de navegação do console. 

Você pode usar um conjunto gerenciado em um grupo de regras ou em um pacote de proteção (ACL da Web).
+ Para usar um conjunto de IPs, consulte [Instrução de regra de correspondência de conjunto de IPs](waf-rule-statement-type-ipset-match.md). 
+ Para usar um conjunto de padrões regex, consulte [Instrução de regra de correspondência do conjunto de padrões de regex](waf-rule-statement-type-regex-pattern-set-match.md). 

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

**Topics**
+ [

# Criando e gerenciando um conjunto de IP no AWS WAF
](waf-ip-set-managing.md)
+ [

# Criando e gerenciando um padrão de regex definido em AWS WAF
](waf-regex-pattern-set-managing.md)

# Criando e gerenciando um conjunto de IP no AWS WAF
<a name="waf-ip-set-managing"></a>

Um conjunto de IP fornece uma coleção de endereços IP e intervalos de endereços IP que você deseja usar juntos em uma instrução de regra. Os conjuntos de IP são AWS recursos. 

Para usar um conjunto de IP em um pacote de proteção (Web ACL) ou grupo de regras, primeiro você cria um AWS recurso `IPSet` com suas especificações de endereço. Depois, você referencia o conjunto ao adicionar uma instrução de regra de conjunto de IP a um pacote de proteção (ACL da Web) ou grupo de regras. 

## Criar um conjunto de IP
<a name="waf-ip-set-creating"></a>

Siga o procedimento nesta seção para criar um novo conjunto de IP.

**nota**  
Além do procedimento descrito nesta seção, você tem a opção de adicionar um novo conjunto de IPs ao adicionar uma regra de correspondência de IP ao pacote de proteção (ACL da Web) ou grupo de regras. Escolher essa opção requer que você forneça as mesmas configurações que as exigidas por este procedimento. 

**Para criar um conjunto de IP**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **IP sets (Conjuntos de IP)** e, em seguida, **Create IP set (Criar conjunto de IP)**. 

1. Digite um nome e uma descrição para o conjunto de IP. Você usará essas informações para identificar o conjunto quando quiser usá-lo. 
**nota**  
Você não pode alterar o nome depois de criar o conjunto de IP.

1. Em **Região**, escolha Global (CloudFront) ou escolha a região em que você deseja armazenar o conjunto de IP. Você pode usar conjuntos de IP regionais somente em pacotes de proteção (web ACLs) que protejam recursos regionais. Para usar um IP definido em pacotes de proteção (web ACLs) que protegem CloudFront as distribuições da Amazon, você deve usar Global ()CloudFront. 

1. Para a **versão IP**, selecione a versão que deseja usar.

1. Na caixa de texto **Endereços IP**, insira um endereço IP ou intervalo de endereços IP por linha, na notação CIDR. AWS WAF suporta todos IPv4 os intervalos IPv6 CIDR, exceto o. `/0` Para saber mais sobre a notação CIDR, consulte o artigo na Wikipédia sobre [CIDR](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing).

   Veja alguns exemplos:
   + **Para especificar o IPv4 endereço 192.0.2.44, digite 192.0.2.44/32.**
   + **Para especificar o IPv6 endereço 2620:0:2 d 0:200:0:0:0:0:0:0, digite 2620:0:2 d 0:200:0:0:0 /128.**
   + **Para especificar o intervalo de IPv4 endereços de 192.0.2.0 a 192.0.2.255, digite 192.0.2.0/24.**
   + **Para especificar o intervalo de IPv6 endereços de 2620:0:2 d 0:200:0:0:0 a 2620:0:2 d 0:200:ffff:ffff:ffff:ffff:ffff, digite 2620:0:2 d 0:200: :/64.**

1. Revise as configurações do conjunto de IP e escolha **Criar conjunto de IP**.

## Excluir um conjunto de IP
<a name="waf-ip-set-deleting"></a>

Siga as orientações nesta seção para excluir um conjunto referenciado.

**Como excluir um conjunto e grupo de regras refenciados**  
Quando você exclui uma entidade que pode ser usada em um pacote de proteção (Web ACL), como um conjunto de IP, conjunto de padrões regex ou grupo de regras, AWS WAF verifica se a entidade está sendo usada atualmente em um pacote de proteção (Web ACL). Se descobrir que está em uso, AWS WAF avisa você. AWS WAF quase sempre é capaz de determinar se uma entidade está sendo referenciada por um pacote de proteção (web ACL). No entanto, em casos raros, talvez não seja possível fazer isso. Se você precisar ter certeza de que nada está usando a entidade no momento, verifique-a em seus pacotes de proteção (web ACLs) antes de excluí-la. Se a entidade for um conjunto referenciado, verifique também se nenhum grupo de regras está utilizando-a.

**Para excluir um conjunto de IPs**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Conjuntos de IP**.

1. Selecione o conjunto de IP que deseja excluir e escolha **Delete (Excluir)**.

# Criando e gerenciando um padrão de regex definido em AWS WAF
<a name="waf-regex-pattern-set-managing"></a>

Um conjunto de padrões regex fornece uma coleção de expressões regulares que você deseja usar em conjunto em uma instrução de regra. Os conjuntos de padrões Regex são AWS recursos. 

Para usar um padrão de regex definido em um pacote de proteção (web ACL) ou grupo de regras, primeiro você cria um AWS recurso, `RegexPatternSet` com suas especificações de padrão regex. Em seguida, você referencia o conjunto ao adicionar uma instrução de regra de conjunto de padrões regex a um pacote de proteção (ACL da Web) ou grupo de regras. Um conjunto de padrões regex deve conter pelo menos um padrão regex. 

Se o seu conjunto de padrões regex contiver mais de um padrão regex, quando ele for usado em uma regra, a correspondência de padrões é combinada com uma lógica `OR`. Ou seja, uma solicitação web corresponderá à instrução de regra de conjunto de padrões se o componente de solicitação corresponder a qualquer um dos padrões no conjunto.

AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

## Criar um conjunto de padrões regex
<a name="waf-regex-pattern-set-creating"></a>

Siga o procedimento nesta seção para criar um novo conjunto de padrões regex.

**Para criar um conjunto de padrões regex**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Regex pattern sets (Conjuntos de padrões Regex)** e **Create regex pattern set (Criar conjunto de padrões regex)**. 

1. Informe um nome e uma descrição para o conjunto de padrões regex. Você usará esses dados para identificá-lo quando quiser usar o conjunto. 
**nota**  
Não é possível alterar o nome depois de criar o conjunto de padrões regex.

1. Em **Região**, escolha Global (CloudFront) ou escolha a Região em que você deseja armazenar o conjunto de padrões regex. Você pode usar conjuntos de padrões regionais de regex somente em pacotes de proteção (web ACLs) que protejam recursos regionais. Para usar um padrão de regex definido em pacotes de proteção (web ACLs) que protegem CloudFront as distribuições da Amazon, você deve usar Global (). CloudFront 

1. Na caixa de texto **Regular expressions (Expressões regulares)** insira um padrão de regex por linha. 

   Por exemplo, a expressão regular `I[a@]mAB[a@]dRequest` corresponde às seguintes strings: `IamABadRequest`, `IamAB@dRequest`, `I@mABadRequest` e `I@mAB@dRequest`.

   AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

1. Revise as configurações do conjunto de padrões regex e escolha **Create regex pattern set (Criar conjunto de padrões regex)**.

## Excluir um conjunto de padrões regex
<a name="waf-regex-pattern-set-deleting"></a>

Siga as orientações nesta seção para excluir um conjunto referenciado.

**Como excluir um conjunto e grupo de regras refenciados**  
Quando você exclui uma entidade que pode ser usada em um pacote de proteção (Web ACL), como um conjunto de IP, conjunto de padrões regex ou grupo de regras, AWS WAF verifica se a entidade está sendo usada atualmente em um pacote de proteção (Web ACL). Se descobrir que está em uso, AWS WAF avisa você. AWS WAF quase sempre é capaz de determinar se uma entidade está sendo referenciada por um pacote de proteção (web ACL). No entanto, em casos raros, talvez não seja possível fazer isso. Se você precisar ter certeza de que nada está usando a entidade no momento, verifique-a em seus pacotes de proteção (web ACLs) antes de excluí-la. Se a entidade for um conjunto referenciado, verifique também se nenhum grupo de regras está utilizando-a.

**Para excluir um conjunto de padrões regex**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Regex pattern sets (Conjuntos de padrões Regex)**.

1. Selecione o conjunto de padrões regex que deseja deletar e escolha **Delete (Excluir)**.

# Solicitações e respostas personalizadas da web em AWS WAF
<a name="waf-custom-request-response"></a>

Esta seção explica como adicionar um comportamento personalizado de tratamento de solicitações e respostas da Web às suas ações de AWS WAF regra e às ações padrão do pacote de proteção (Web ACL). As configurações personalizadas se aplicam sempre que a ação à qual elas estão anexadas se aplica. 

É possível personalizar solicitações e respostas da web das seguintes maneiras: 
+ Com as ações Allow, Count, CAPTCHA e Challenge, você pode inserir cabeçalhos personalizados na solicitação da web. Quando o AWS WAF encaminha a solicitação da web para o recurso protegido, a solicitação contém toda a solicitação original mais os cabeçalhos personalizados que você inseriu. Para as ações CAPTCHA, Challenge e AWS WAF , só se aplica a personalização se a solicitação for aprovada na inspeção do CAPTCHA ou do token de desafio.
+ Com ações Block, você pode definir uma resposta personalizada completa, com código de resposta, cabeçalhos e corpo. O recurso protegido responde à solicitação usando a resposta personalizada fornecida pelo AWS WAF. Sua resposta personalizada substitui a resposta de ação Block padrão de`403 (Forbidden)`.

**Configurações de ação que você pode personalizar**  
Você pode especificar uma solicitação ou resposta personalizada ao definir as seguintes configurações de ação: 
+ A ação da regra. Para mais informações, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).
+ Ação padrão de um pacote de proteção (ACL da Web). Para mais informações, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

**Configurações de ação que você não pode personalizar**  
Você *não pode* especificar o tratamento de solicitações personalizadas na ação de substituir um grupo de regras que você usa em um pacote de proteção (ACL da Web). Consulte [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md). Consulte também [Usando declarações de grupos de regras gerenciadas em AWS WAF](waf-rule-statement-type-managed-rule-group.md) e [Usando declarações de grupos de regras em AWS WAF](waf-rule-statement-type-rule-group.md).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IP que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

**Limites no uso de solicitações e respostas personalizadas**  
AWS WAF define configurações máximas para o uso de solicitações e respostas personalizadas. Por exemplo, um número máximo de cabeçalhos de solicitação por pacote de proteção (ACL da Web) ou grupo de regras e um número máximo de cabeçalhos personalizados para uma única definição de resposta personalizada. Para mais informações, consulte [AWS WAF cotas](limits.md).

**Topics**
+ [

# Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio
](customizing-the-incoming-request.md)
+ [

# Como enviar respostas personalizadas para ações Block
](customizing-the-response-for-blocked-requests.md)
+ [

# Códigos de status compatíveis para respostas personalizadas
](customizing-the-response-status-codes.md)

# Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio
<a name="customizing-the-incoming-request"></a>

Esta seção explica como AWS WAF instruir a inserção de cabeçalhos personalizados na solicitação HTTP original quando uma ação de regra não bloqueia a solicitação. Com essa opção, você só adiciona itens à solicitação. Não é possível modificar nem substituir nenhuma parte da solicitação original. Os casos de uso para inserção de cabeçalhos personalizados incluem sinalizar um aplicativo de downstream para processar a solicitação de forma diferente com base nos cabeçalhos inseridos e sinalizar a solicitação para análise.

**Importante**  
Essa opção se aplica às ações das regras Allow, Count, CAPTCHA e Challenge, e às ações padrão do pacote de proteção (ACL da Web) definidas como Allow. Para saber mais sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). Para obter mais informações sobre as ações padrão dos pacotes de proteção (ACL da Web), consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

## Considerações ao usar nomes de cabeçalhos de solicitações personalizados
<a name="using-custom-request-header-names"></a>

**Prefixos adicionados aos cabeçalhos de solicitações**  
AWS WAF prefixa todos os cabeçalhos de solicitação com os quais ele é inserido`x-amzn-waf-`, para evitar confusão com os cabeçalhos que já estão na solicitação. Por exemplo, se você especificar o nome do cabeçalho`sample`, AWS WAF insere o cabeçalho`x-amzn-waf-sample`.

**Importante**  
Como prática de segurança, é possível adicionar uma regra de correspondência de strings que bloqueia as solicitações nas quais o cabeçalho já começa com `x-amzn-waf-`. Isso bloqueia solicitações de não AWS WAF fontes que imitam a string de `x-amzn-waf-` prefixo inserida AWS WAF ao processar cabeçalhos de solicitação personalizados.

O exemplo a seguir mostra uma regra de correspondência de strings configurada para bloquear o tráfego em que o `x-amzn-waf-` prefixo não foi inserido por AWS WAF:

```
    "Rules": [
        {
          "Name": "CustomHeader",
          "Priority": 0,
          "Statement": {
            "ByteMatchStatement": {
              "SearchString": " x-amzn-waf-",
              "FieldToMatch": {
                "Headers": {
                  "MatchPattern": {
                    "All": {}
                  },
                  "MatchScope": "KEY",
                  "OversizeHandling": "MATCH"
                }
              },
              "TextTransformations": [
                {
                  "Priority": 0,
                  "Type": "NONE"
                }
              ],
              "PositionalConstraint": "STARTS_WITH"
            }
          },
          "Action": {
            "Block": {}
          },
          "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "CustomHeader"
          }
        }
      ]
```

Para saber mais sobre o uso de regras de correspondência de strings, consulte [Instrução de regra de correspondência de string](waf-rule-statement-type-string-match.md).

**Cabeçalhos com o mesmo nome**  
Se a solicitação já tiver um cabeçalho com o mesmo nome que AWS WAF está sendo inserido, AWS WAF substituirá o cabeçalho. Portanto, se você definir cabeçalhos em várias regras com nomes idênticos, a última regra a inspecionar a solicitação e encontrar uma correspondência teria seu cabeçalho adicionado, e as regras anteriores não. 

## Cabeçalhos personalizados com ações das regras que não são de encerramento
<a name="custom-request-header-non-terminating-rule-actions"></a>

Ao contrário da Allow ação, a Count ação não AWS WAF impede o processamento da solicitação da web usando o restante das regras no pacote de proteção (Web ACL). Da mesma forma, quando CAPTCHA e Challenge determinam que o token da solicitação é válido, essas ações não param AWS WAF de processar a solicitação da web. Portanto, se você inserir cabeçalhos personalizados usando uma regra com uma dessas ações, as regras subsequentes também poderão inserir cabeçalhos personalizados. Para obter mais informações sobre comportamento de ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

Por exemplo, suponha que você tenha as seguintes regras, priorizadas na ordem mostrada: 

1. RegraA com uma ação Count e um cabeçalho personalizado chamado `RuleAHeader`.

1. RegraB com uma ação Allow e um cabeçalho personalizado chamado `RuleBHeader`.

Se uma solicitação corresponder à regra A e à regra B, AWS WAF insere os cabeçalhos `x-amzn-waf-RuleAHeader` e`x-amzn-waf-RuleBHeader`, em seguida, encaminha a solicitação para o recurso protegido. 

AWS WAF insere cabeçalhos personalizados em uma solicitação da Web quando termina de inspecionar a solicitação. Portanto, se você usar o tratamento personalizado de solicitações com uma regra que tenha a ação definida como Count, os cabeçalhos personalizados adicionados não serão inspecionados pelas regras subsequentes. 

## Exemplo de tratamento personalizado das solicitações
<a name="example-custom-request-handling"></a>

Você define o tratamento personalizado das solicitações para a ação de uma regra ou para uma ação padrão do pacote de proteção (ACL da Web). A lista a seguir mostra o JSON para o tratamento personalizado adicionado à ação padrão de um pacote de proteção (ACL da Web). 

```
{
 "Name": "SampleWebACL",
 "Scope": "REGIONAL",
 "DefaultAction": {
  "Allow": {
   "CustomRequestHandling": {
    "InsertHeaders": [
     {
      "Name": "fruit",
      "Value": "watermelon"
     },
     {
      "Name": "pie",
      "Value": "apple"
     }
    ]
   }
  }
 },
 "Description": "Sample protection pack (web ACL) with custom request handling configured for default action.",
 "Rules": [],
 "VisibilityConfig": {
  "SampledRequestsEnabled": true,
  "CloudWatchMetricsEnabled": true,
  "MetricName": "SampleWebACL"
 }
}
```

# Como enviar respostas personalizadas para ações Block
<a name="customizing-the-response-for-blocked-requests"></a>

Esta seção explica como AWS WAF instruir o envio de uma resposta HTTP personalizada de volta ao cliente para ações de regra ou ações padrão do pacote de proteção (Web ACL) definidas como. Block Para saber mais sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). Para obter mais informações sobre as ações padrão dos pacotes de proteção (ACL da Web), consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

Ao definir o tratamento personalizado de resposta para uma ação Block, você define o código de status, os cabeçalhos e o corpo da resposta. Para obter uma lista de códigos de status que você pode usar com AWS WAF, consulte a seção a seguir,[Códigos de status compatíveis para respostas personalizadas](customizing-the-response-status-codes.md). 

**Casos de uso**  
Os casos de uso de respostas personalizadas incluem o seguinte: 
+ Enviar um código de status não padrão de volta ao cliente.
+ Enviar cabeçalhos de resposta personalizada de volta ao cliente. É possível especificar qualquer nome de cabeçalho, exceto `content-type`.
+ Enviar uma página de erro estática de volta ao cliente.
+ Redirecionar o cliente para um URL diferente. Para fazer isso, você especifica um dos códigos de status de redirecionamento `3xx`, como `301 (Moved Permanently)` ou `302 (Found)`, e depois especifica um novo cabeçalho `Location` com o novo URL. 

**Interação com respostas que você define em seu recurso protegido**  
As respostas personalizadas que você especifica para a AWS WAF Block ação têm precedência sobre qualquer especificação de resposta definida no seu recurso protegido. 

O serviço de hospedagem do AWS recurso que você protege AWS WAF pode permitir o tratamento personalizado de respostas para solicitações da web. Os exemplos incluem: 
+ Com a Amazon CloudFront, você pode personalizar a página de erro com base no código de status. Para obter informações, consulte [Geração de respostas de erro personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) no *Amazon CloudFront Developer Guide*. 
+ Com o Amazon API Gateway, você pode definir a resposta e o código de status do seu gateway. Para saber mais, consulte [Respostas do API Gateway](https://docs.aws.amazon.com/apigateway/latest/developerguide/api-gateway-gatewayResponse-definition.html) no *Guia do desenvolvedor do Amazon API Gateway*. 

Você não pode combinar configurações de resposta AWS WAF personalizadas com configurações de resposta personalizadas no AWS recurso protegido. A especificação de resposta para qualquer solicitação individual da web vem totalmente do AWS WAF ou totalmente do recurso protegido. 

Para solicitações da web que AWS WAF bloqueiam, o seguinte mostra a ordem de precedência.

1. **AWS WAF resposta personalizada** — Se a AWS WAF Block ação tiver uma resposta personalizada ativada, o recurso protegido enviará a resposta personalizada configurada de volta ao cliente. Qualquer configuração de resposta que você possa ter definido no próprio recurso protegido não tem efeito. 

1. **Resposta personalizada definida no recurso protegido**: caso contrário, se o recurso protegido tiver configurações de resposta personalizada especificadas, o recurso protegido usará essas configurações para responder ao cliente. 

1. **AWS WAF Blockresposta padrão** — Caso contrário, o recurso protegido responderá ao cliente com a Block resposta AWS WAF `403 (Forbidden)` padrão. 

Para solicitações da Web que AWS WAF permitem, sua configuração do recurso protegido determina a resposta que ele envia de volta ao cliente. Você não pode definir as configurações de resposta AWS WAF para solicitações permitidas. A única personalização que você pode configurar AWS WAF para solicitações permitidas é a inserção de cabeçalhos personalizados na solicitação original, antes de encaminhar a solicitação para o recurso protegido. Isso é descrito na seção anterior, [Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio](customizing-the-incoming-request.md). 

**Cabeçalhos de resposta personalizada**  
É possível especificar qualquer nome de cabeçalho, exceto `content-type`.

**Corpos de resposta personalizada**  
Você define o corpo de uma resposta personalizada dentro do contexto do pacote de proteção (ACL da Web) ou do grupo de regras no qual deseja usá-la. Depois de definir o corpo de uma resposta personalizada, você pode usá-lo como referência em qualquer outro item do pacote de proteção (ACL da Web) ou no grupo de regras no qual ele foi criado. Nas configurações de ação individual Block, você faz referência ao corpo personalizado que deseja usar e define o código de status e o cabeçalho da resposta personalizada. 

Ao criar uma resposta personalizada no console, você pode escolher entre os corpos de resposta que já foram definidos ou criar um novo corpo. Fora do console, você define os corpos das respostas personalizadas no nível do pacote de proteção (ACL da Web) ou do grupo de regras e os referencia nas configurações de ação no escopo do pacote de proteção (ACL da Web) ou do grupo de regras. Isso é mostrado no exemplo JSON na seção a seguir. 

**Exemplo de resposta personalizada**  
O exemplo a seguir lista o JSON de um grupo de regras com configurações de resposta personalizada. O corpo da resposta personalizada é definido para todo o grupo de regras e, em seguida, referenciado por chave na ação da regra.

```
{
 "ARN": "test_rulegroup_arn",
 "Capacity": 1,
 
 "CustomResponseBodies": {
  "CustomResponseBodyKey1": {
   "Content": "This is a plain text response body.",
   "ContentType": "TEXT_PLAIN"
  }
 },
 
 "Description": "This is a test rule group.",
 "Id": "test_rulegroup_id",
 "Name": "TestRuleGroup",
 
 "Rules": [
  {
   "Action": {
    "Block": {
     "CustomResponse": {
      "CustomResponseBodyKey": "CustomResponseBodyKey1",
      "ResponseCode": 404,
      "ResponseHeaders": [
       {
        "Name": "BlockActionHeader1Name",
        "Value": "BlockActionHeader1Value"
       }
      ]
     }
    }
   },
   "Name": "GeoMatchRule",
   "Priority": 1,
   "Statement": {
    "GeoMatchStatement": {
     "CountryCodes": [
      "US"
     ]
    }
   },
   "VisibilityConfig": {
    "CloudWatchMetricsEnabled": true,
    "MetricName": "TestRuleGroupReferenceMetric",
    "SampledRequestsEnabled": true
   }
  }
 ],
 "VisibilityConfig": {
  "CloudWatchMetricsEnabled": true,
  "MetricName": "TestRuleGroupMetric",
  "SampledRequestsEnabled": true
 }
}
```

# Códigos de status compatíveis para respostas personalizadas
<a name="customizing-the-response-status-codes"></a>

Esta seção lista os códigos de status que você pode usar em uma resposta personalizada. Para obter informações detalhadas sobre códigos de status HTTP, consulte [Códigos de status](https://www.rfc-editor.org/rfc/rfc9110.html#name-status-codes) da Internet Engineering Task Force (IETF) e [Lista de códigos de status HTTP](https://en.wikipedia.org/wiki/List_of_HTTP_status_codes) na Wikipedia.

A seguir estão os códigos de status HTTP que AWS WAF oferecem suporte para respostas personalizadas. 
+ `2xx Successful`
  + `200` – `OK`
  + `201` – `Created`
  + `202` – `Accepted` 
  + `204` – `No Content` 
  + `206` – `Partial Content`
+ `3xx Redirection `
  + `300` – `Multiple Choices`
  + `301` – `Moved Permanently`
  + `302` – `Found`
  + `303` –`See Other`
  + `304` – `Not Modified`
  + `307` – `Temporary Redirect`
  + `308` – `Permanent Redirect`
+ `4xx Client Error `
  + `400` – `Bad Request`
  + `401` – `Unauthorized`
  + `403` – `Forbidden`
  + `404` – `Not Found`
  + `405` – `Method Not Allowed`
  + `408` – `Request Timeout`
  + `409` – `Conflict`
  + `411` – `Length Required`
  + `412` – `Precondition Failed`
  + `413` – `Request Entity Too Large`
  + `414` – `Request-URI Too Long`
  + `415` – `Unsupported Media Type`
  + `416` – `Requested Range Not Satisfiable`
  + `421` – `Misdirected Request`
  + `429` – `Too Many Requests`
+ `5xx Server Error`
  + `500` – `Internal Server Error`
  + `501` – `Not Implemented`
  + `502` – `Bad Gateway`
  + `503` – `Service Unavailable`
  + `504` – `Gateway Timeout`
  + `505` – `HTTP Version Not Supported`

# Rotulagem de solicitações da Web em AWS WAF
<a name="waf-labels"></a>

Esta seção explica o que são AWS WAF rótulos.

Os rótulos são metadados adicionados a uma solicitação da Web por uma regra quando a regra é correspondente à solicitação. Depois de adicionados, os rótulos permanecem disponíveis na solicitação até que a avaliação do pacote de proteção (ACL da Web) termine. Você pode acessar rótulos em regras que serão executadas posteriormente na avaliação do pacote de proteção (ACL da Web) usando uma instrução de correspondência de rótulos. Para obter detalhes, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md). 

Os rótulos nas solicitações da web geram métricas de CloudWatch rótulos da Amazon. Para obter uma lista das métricas e dimensões, consulte [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). Para obter informações sobre como acessar métricas e resumos de métricas por CloudWatch meio do AWS WAF console, consulte[Monitorando e ajustando suas AWS WAF proteções](web-acl-testing-activities.md).

**Casos de uso de rótulos**  
Os casos de uso comuns de AWS WAF rótulos incluem o seguinte: 
+ **Avaliação de uma solicitação da Web em relação a várias declarações de regra antes de agir sobre a solicitação** — Depois que uma correspondência for encontrada com uma regra em um pacote de proteção (ACL da web), AWS WAF continue avaliando a solicitação em relação ao pacote de proteção (ACL da web) se a ação da regra não encerrar a avaliação do pacote de proteção (ACL da web). Você pode usar rótulos para avaliar e coletar informações de várias regras antes de decidir permitir ou bloquear a solicitação. Para fazer isso, altere as ações de suas regras existentes para Count e configure-as para adicionar rótulos às solicitações correspondentes. Em seguida, adicione uma ou mais novas regras para serem executadas após as outras regras e configure-as para avaliar os rótulos e gerenciar as solicitações de acordo com as combinações de correspondência de rótulo. 
+ **Gerenciamento de solicitações da web por região geográfica**: você pode usar somente a regra de correspondência geográfica para gerenciar solicitações da web por país de origem. Para ajustar a localização até o nível da região, você usa a regra de correspondência geográfica com uma ação Count seguida por uma regra de correspondência de rótulo. Para obter informações sobre regras de geo correspondência, consulte [Instrução de regra de correspondência geográfica](waf-rule-statement-type-geo-match.md). 
+ **Reutilização da lógica em várias regras**: se você precisar reutilizar a mesma lógica em várias regras, poderá usar rótulos para criar uma única fonte da lógica e apenas testar os resultados. Quando você tem várias regras complexas que usam um subconjunto comum de instruções de regras aninhadas, duplicar o conjunto de regras comuns em suas regras complexas pode ser demorado e propenso a erros. Com rótulos, você pode criar uma nova regra com o subconjunto de regras comuns que conta as solicitações correspondentes e adiciona um rótulo a elas. Você adiciona a nova regra ao pacote de proteção (ACL da Web) para que seja executada antes das regras complexas originais. Em seguida, nas regras originais, você substitui o subconjunto de regras compartilhadas por uma única regra que verifica o rótulo. 

  Por exemplo, digamos que você tenha várias regras que deseja aplicar somente aos seus caminhos de login. Em vez de fazer com que cada regra especifique a mesma lógica para corresponder a possíveis caminhos de login, você pode implementar uma única nova regra que contenha essa lógica. Faça com que a nova regra adicione um rótulo às solicitações correspondentes para indicar que a solicitação está em um caminho de login. No pacote de proteção (ACL da Web), atribua a essa nova regra uma configuração de prioridade numérica menor do que as regras originais para que ela seja executada primeiro. Em seguida, nas regras originais, substitua a lógica compartilhada por uma verificação da presença do rótulo. Para obter mais informações sobre as configurações de prioridade, consulte [Definir prioridade das regras](web-acl-processing-order.md). 
+ **Criação de exceções às regras em grupos de regras**: essa opção é particularmente útil para grupos de regras gerenciadas, que você não pode visualizar nem alterar. Muitas regras de grupos de regras gerenciadas adicionam rótulos às solicitações da web correspondentes, para indicar as regras que corresponderam e, possivelmente, para fornecer informações adicionais sobre a correspondência. Ao usar um grupo de regras que adiciona rótulos às solicitações, você pode substituir as regras do grupo de regras para contar as correspondências e, em seguida, executar uma regra após o grupo de regras que trata a solicitação da web com base nos rótulos do grupo de regras. Todas as regras gerenciadas da AWS adicionam rótulos às solicitações da web correspondentes. Para obter detalhes, consulte as descrições da regra em [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md). 
+ **Usar métricas de rótulos para monitorar padrões de tráfego**: você pode acessar métricas para os rótulos que você adiciona por meio de suas regras e para métricas adicionadas por qualquer grupo de as regras gerenciadas que você usa no pacote de proteção (ACL da Web). Todos os grupos de regras das regras gerenciadas da AWS adicionam rótulos às solicitações da web que eles avaliam. Para obter uma lista das métricas e dimensões, consulte [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label). Você pode acessar métricas e resumos de métricas por meio CloudWatch da página do pacote de proteção (Web ACL) no AWS WAF console. Para mais informações, consulte [Monitorando e ajustando suas AWS WAF proteções](web-acl-testing-activities.md). 

# Como a rotulagem funciona em AWS WAF
<a name="waf-rule-label-overview"></a>

Esta seção explica como os AWS WAF rótulos funcionam.

Quando uma regra corresponde a uma solicitação da web, se a regra tiver rótulos definidos, AWS WAF adicionará os rótulos à solicitação no final da avaliação da regra. As regras que são avaliadas após a regra de correspondência no pacote de proteção (ACL da Web) podem corresponder aos rótulos que a regra adicionou. 

**Quem adiciona rótulos às solicitações**  
Os componentes do pacote de proteção (ACL da Web) que avaliam as solicitações podem adicionar rótulos às solicitações. 
+ Qualquer regra que não seja uma instrução de referência de grupo de regras pode adicionar rótulos às solicitações da web correspondentes. Os critérios de rotulagem fazem parte da definição da regra e, quando uma solicitação da Web corresponde à regra, AWS WAF os rótulos da regra são adicionados à solicitação. Para mais informações, consulte [AWS WAF regras que adicionam rótulos](waf-rule-label-add.md).
+ A instrução da regra de correspondência geográfica adiciona rótulos de país e região a qualquer solicitação que ela inspeciona, independentemente de a instrução resultar em uma correspondência. Para mais informações, consulte [Instrução de regra de correspondência geográfica](waf-rule-statement-type-geo-match.md).
+ As regras AWS gerenciadas para AWS WAF todos adicionam rótulos às solicitações que eles inspecionam. Elas adicionam alguns rótulos com base nas correspondências de regras no grupo de regras e alguns com base nos processos da AWS que os grupos de regras gerenciadas usam, como o rótulo de token adicionado quando você usa um grupo de regras de mitigação de ameaças inteligentes. Para obter informações sobre os rótulos que cada grupo de regras gerenciadas adiciona, consulte [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md).

**Como AWS WAF gerencia rótulos**  
AWS WAF adiciona os rótulos da regra à solicitação ao final da inspeção da solicitação pela regra. A rotulagem faz parte das atividades de correspondência de uma regra, semelhante à ação. 

Os rótulos não persistem com a solicitação da Web após o término da avaliação do pacote de proteção (ACL da Web). Para que outras regras correspondam a um rótulo que sua regra adiciona, sua ação de regra não deve encerrar a avaliação da solicitação da Web pelo pacote de proteção (ACL da Web). A ação da regra deve ser definida como Count, CAPTCHA ou Challenge. Quando a avaliação do pacote de proteção (ACL da Web) não termina, as regras subsequentes no pacote de proteção (ACL da Web) podem executar seus critérios de correspondência de rótulos em relação à solicitação. Para saber mais sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

**Acesso a rótulos durante a avaliação do pacote de proteção (ACL da Web)**  
Depois de adicionadas, as etiquetas permanecem disponíveis na solicitação, desde que a solicitação AWS WAF seja avaliada em relação ao pacote de proteção (Web ACL). Qualquer regra em um pacote de proteção (ACL da Web) pode acessar rótulos que foram adicionados pelas regras que já foram executadas no mesmo pacote de proteção (ACL da Web). Isso inclui regras que são definidas diretamente dentro do pacote de proteção (ACL da Web) e regras definidas dentro dos grupos de regras que são usados no pacote de proteção (ACL da Web). 
+ Você pode fazer uma correspondência com um rótulo nos critérios de inspeção de solicitação da sua regra usando a instrução de correspondência de rótulos. Você pode corresponder com qualquer rótulo anexado à solicitação. Para obter detalhes da instrução, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md). 
+ A instrução de correspondência geográfica adiciona rótulos com ou sem correspondência, mas eles só estão disponíveis depois que a regra do pacote de proteção (ACL da Web) que contém a instrução tiver concluído a avaliação da solicitação. 
  + Você não pode usar uma única regra, por exemplo, uma instrução lógica `AND`, para executar uma instrução de correspondência geográfica seguida por uma instrução de correspondência de rótulo com os rótulos geográficos. Você deve colocar a instrução de correspondência de rótulos em uma regra separada que é executada após a regra que contém a instrução de correspondência geográfica. 
  + Se você usar uma instrução de correspondência geográfica como uma instrução de redução de escopo dentro de uma instrução de regra baseada em intervalos ou instrução de referência de grupo de regras gerenciadas, os rótulos adicionados pela instrução de correspondência geográfica não estarão disponíveis para inspeção pela instrução da regra que a contém. Se você precisar inspecionar a rotulagem geográfica em uma instrução de regra baseada em intervalos ou em um grupo de regras, deverá executar a instrução de correspondência geográfica em uma regra separada que seja executada previamente. 

**Acesso a informações de rótulo fora da avaliação do pacote de proteção (ACL da Web)**  
Os rótulos não persistem com a solicitação da Web após o término da avaliação do pacote de proteção (ACL da Web), mas o AWS WAF registra as informações dos rótulos nos logs e nas métricas. 
+ AWS WAF armazena CloudWatch métricas da Amazon para as primeiras 100 etiquetas em qualquer solicitação única. Para obter informações sobre como acessar métricas de rótulo, consulte [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [Métricas e dimensões do rótulo](waf-metrics.md#waf-metrics-label).
+ AWS WAF resume as métricas do CloudWatch rótulo nos painéis de visão geral do tráfego do pacote de proteção (web ACL) no console. AWS WAF Você pode acessar os painéis em qualquer página de pacote de proteção (ACL da Web). Para obter mais informações, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md).
+ AWS WAF registra as etiquetas nos registros das primeiras 100 etiquetas de uma solicitação. Você pode usar rótulos, junto com a ação de regra, para filtrar os logs que o AWS WAF registra. Para mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

Sua avaliação do pacote de proteção (Web ACL) pode aplicar mais de 100 rótulos a uma solicitação da web e comparar com mais de 100 rótulos, mas registra AWS WAF somente os 100 primeiros nos registros e métricas. 

# Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF
<a name="waf-rule-label-requirements"></a>

Esta seção explica como criar e comparar com um AWS WAF rótulo.

Um rótulo é uma string composta por um prefixo, namespaces opcionais e um nome. Os componentes de um rótulo são delimitados com dois pontos. As rótulos têm os seguintes requisitos e características:
+ Os rótulos diferenciam maiúsculas de minúsculas. 
+ Cada namespace de rótulo ou nome de rótulo pode ter até 128 caracteres. 
+ Você pode especificar até 5 namespaces em um rótulo. 
+ Os componentes de um rótulo são separados por dois pontos (`:`).
+ Você não pode usar as seguintes sequências de caracteres reservadas nos namespaces ou no nome que você especifica para um rótulo: `awswaf`, `aws`, `waf`, `rulegroup`, `webacl`, `regexpatternset`, `ipset` e `managed`.

## Sintaxe de rótulos
<a name="waf-rule-label-syntax"></a>

Um rótulo totalmente qualificado têm um prefixo, namespaces opcionais e nome de rótulo. O prefixo identifica o grupo de regras ou o contexto do pacote de proteção (ACL da Web) da regra que adicionou o rótulo. Os namespaces podem ser usados para adicionar mais contexto ao rótulo. O nome do rótulo fornece o nível mais baixo de detalhes para um rótulo. Geralmente indica a regra específica que adicionou o rótulo à solicitação. 

O prefixo do rótulo varia de acordo com sua origem. 
+ **Seus rótulos**: veja a seguir a sintaxe completa dos rótulos que você cria no pacote de proteção (ACL da Web) e nas regras do grupo de regras. Os tipos de entidade são `rulegroup` e `webacl`.

  ```
  awswaf:<entity owner account id>:<entity type>:<entity name>:<custom namespace>:...:<label name>
  ```
  + Prefixo do namespace do rótulo: `awswaf:<entity owner account id>:<entity type>:<entity name>:`
  + Adições personalizadas de namespace: `<custom namespace>:…:`

  Ao definir um rótulo para uma regra em um grupo de regras ou pacote de proteção (ACL da Web), você controla as strings de namespace personalizadas e o nome do rótulo. O resto é gerado para você por AWS WAF. AWS WAF prefixa automaticamente todos os rótulos com as `awswaf` configurações da conta e do pacote de proteção (Web ACL) ou da entidade do grupo de regras.
+ **Rótulos de grupos de regras gerenciadas**: veja a seguir a sintaxe completa dos rótulos criados por regras em grupos de regras gerenciadas. 

  ```
  awswaf:managed:<vendor>:<rule group name>:<custom namespace>:...:<label name>
  ```
  + Prefixo do namespace do rótulo: `awswaf:managed:<vendor>:<rule group name>:`
  + Adições personalizadas de namespace: `<custom namespace>:…:`

  Todos os grupos de regras de regras AWS gerenciadas adicionam rótulos. Para saber mais sobre grupos de regras gerenciadas, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md). 
+ **Rótulos de outros AWS processos** — Esses processos são usados por grupos de regras de regras AWS gerenciadas, então você os vê adicionados às solicitações da web que você avalia usando grupos de regras gerenciadas. Veja a seguir a sintaxe completa dos rótulos criados por processos chamados por grupos de regras gerenciadas. 

  ```
  awswaf:managed:<process>:<custom namespace>:...:<label name>
  ```
  + Prefixo do namespace do rótulo: `awswaf:managed:<process>:`
  + Adições personalizadas de namespace: `<custom namespace>:…:`

  Rótulos desse tipo são listados para os grupos de regras gerenciadas que chamam o processo da AWS . Para saber mais sobre grupos de regras gerenciadas, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md). 

## Exemplos de rótulos para suas regras
<a name="waf-rule-label-examples-rules"></a>

Os rótulos de exemplo a seguir são definidos por regras em um grupo de regras chamado `testRules` que pertence à conta, 111122223333. 

```
awswaf:111122223333:rulegroup:testRules:testNS1:testNS2:LabelNameA
```

```
awswaf:111122223333:rulegroup:testRules:testNS1:LabelNameQ
```

```
awswaf:111122223333:rulegroup:testRules:LabelNameZ
```

A lista a seguir mostra um exemplo de especificação de rótulo em JSON. Esses nomes de rótulos incluem strings de namespace personalizadas antes do nome final do rótulo. 

```
Rule: {
    Name: "label_rule",
    Statement: {...}
    RuleLabels: [
        Name: "header:encoding:utf8",
        Name: "header:user_agent:firefox"
    ],
    Action: { Count: {} }
}
```

**nota**  
Você pode acessar esse tipo de lista no console por meio do editor JSON de regras. 

Se você executar a regra anterior no mesmo grupo de regras e conta dos exemplos de rótulos anteriores, os rótulos totalmente qualificados resultantes seriam os seguintes: 

```
awswaf:111122223333:rulegroup:testRules:header:encoding:utf8
```

```
awswaf:111122223333:rulegroup:testRules:header:user_agent:firefox
```

## Exemplos de rótulos para grupos de regras gerenciadas
<a name="waf-rule-label-examples-rule-groups"></a>

Veja a seguir exemplos de rótulos de grupos de regras AWS gerenciadas e processos que eles invocam.

```
awswaf:managed:aws:core-rule-set:NoUserAgent_Header
```

```
awswaf:managed:aws:sql-database:SQLiExtendedPatterns_QueryArguments
```

```
awswaf:managed:aws:atp:aggregate:attribute:compromised_credentials
```

```
awswaf:managed:token:accepted
```

# AWS WAF regras que adicionam rótulos
<a name="waf-rule-label-add"></a>

Em quase todas as regras, você pode definir rótulos e AWS WAF aplicá-los a qualquer solicitação correspondente. 

Os seguintes tipos de regras são as únicas exceções: 
+ **Rotular regras baseadas em intervalos apenas durante a limitação de intervalo**: as regras baseadas em intervalos só adicionam rótulos às solicitações da Web para a instância de agregação específica, enquanto essa instância está sendo limitada pelo AWS WAF. Para saber mais sobre regras baseadas em intervalos, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **A rotulagem não é permitida em instruções de referência de grupos de regras**: o console não aceita rótulos para instruções de grupos de regas ou instruções de grupos de regras gerenciadas. Por meio da API, especificar um rótulo para qualquer tipo de instrução resulta em uma exceção de validação. Para obter informações sobre esses tipos de instrução, consulte [Usando declarações de grupos de regras gerenciadas em AWS WAF](waf-rule-statement-type-managed-rule-group.md) e [Usando declarações de grupos de regras em AWS WAF](waf-rule-statement-type-rule-group.md).

**WCUs **— 1 WCU para cada 5 rótulos que você define em seu pacote de proteção (web ACL) ou regras de grupo de regras. 

**Onde encontrar isso**
+ **Criador de regras** no console: nas configurações da **Ação** da regra, em **Rótulo**. 
+ **Tipo de dados de API**: `Rule` `RuleLabels`

Você define um rótulo em uma regra especificando as cadeias de caracteres e o nome do namespace personalizados a serem anexados ao prefixo do namespace do rótulo. AWS WAF deriva o prefixo do contexto no qual você define a regra. Para obter informações sobre isso, consulte as informações de sintaxe do rótulo em [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md). 

# AWS WAF regras que correspondem aos rótulos
<a name="waf-rule-label-match"></a>

Essa seção explica como usar uma instrução de correspondência de rótulos para avaliar rótulos de solicitações da Web. Você pode corresponder com *Rótulo*, que exige o nome do rótulo, ou com *Namespace*, que exige uma especificação de namespace. Para rótulo ou namespace, você pode opcionalmente incluir namespaces anteriores e o prefixo em sua especificação. Para obter informações gerais sobre esse tipo de instrução, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md). 

O prefixo de um rótulo define o contexto do grupo de regras ou pacote de proteção (ACL da Web) no qual a regra do rótulo é definida. Na declaração de correspondência de rótulo de uma regra, se sua string de correspondência de rótulo ou namespace não especificar o prefixo, AWS WAF use o prefixo para a regra de correspondência de rótulo. 
+ Os rótulos das regras definidas diretamente em um pacote de proteção (ACL da Web) têm um prefixo que especifica o contexto do pacote de proteção (ACL da Web). 
+ Os rótulos das regras que estão dentro de um grupo de regras têm um prefixo que especifica o contexto do grupo de regras. Esse pode ser seu próprio grupo de regras ou um grupo de regras gerenciadas para você. 

Para obter informações sobre isso, consulte a sintaxe do rótulo em [Sintaxe de rótulos e requisitos de nomenclatura em AWS WAF](waf-rule-label-requirements.md). 

**nota**  
Alguns grupos de regras gerenciadas adicionam rótulos. Você pode recuperá-los por meio da API chamando `DescribeManagedRuleGroup`. Os rótulos estão listados na propriedade `AvailableLabels` na resposta.

Se você quiser fazer a correspondência com uma regra que esteja em um contexto diferente do contexto da sua regra, forneça o prefixo na sequência de caracteres de correspondência. Por exemplo, se você quiser fazer a correspondência com rótulos adicionados por regras em um grupo de regras gerenciadas, você pode adicionar uma regra no pacote de proteção (ACL da Web) com uma instrução de correspondência de rótulo cuja string de correspondência especifica o prefixo do grupo de regras seguido por seus critérios de correspondência adicionais. 

Na string de correspondência da instrução de correspondência de rótulo, você especifica um rótulo ou um namespace: 
+ **Rótulo**: a especificação da rótulo para uma partida consiste na parte final da rótulo. Você pode incluir qualquer número de namespaces contíguos que precedem imediatamente o nome do rótulo seguido pelo nome. Você também pode fornecer a rótulo totalmente qualificado iniciando a especificação com o prefixo. 

  Especificações de exemplo:
  + `testNS1:testNS2:LabelNameA`
  + `awswaf:managed:aws:managed-rule-set:testNS1:testNS2:LabelNameA`
+ **Namespace**: a especificação do namespace para uma correspondência consiste em qualquer subconjunto contíguo da especificação do rótulo, excluindo o nome. Você pode incluir o prefixo e incluir uma ou mais strings de namespace. 

  Especificações de exemplo: 
  + `testNS1:testNS2:`
  + `awswaf:managed:aws:managed-rule-set:testNS1:`

# AWS WAF exemplos de correspondência de rótulos
<a name="waf-rule-label-match-examples"></a>

Esta seção fornece exemplos de especificações de correspondência para a instrução da regra de correspondência de rótulos. 

**nota**  
Essas listas JSON foram criadas no console adicionando uma regra a um pacote de proteção (ACL da Web) com as especificações de correspondência de rótulos e, em seguida, editando a regra e mudando para o **Editor JSON de regras**. Você também pode obter o JSON para um grupo de regras ou pacote de proteção (Web ACL) por meio da interface de linha de comando APIs ou da interface de linha de comando. 

**Topics**
+ [

## Corresponda com um rótulo local
](#waf-rule-label-match-examples-local-label)
+ [

## Correspondência com um rótulo de outro contexto
](#waf-rule-label-match-examples-label)
+ [

## Correspondência com um rótulo de grupo de regras gerenciadas
](#waf-rule-label-match-examples-mgd-rg-label)
+ [

## Correspondência com um namespace local
](#waf-rule-label-match-examples-local-namespace)
+ [

## Correspondência com um namespace de grupo de regras gerenciadas
](#waf-rule-label-match-examples-mgd-rg-namespace)

## Corresponda com um rótulo local
<a name="waf-rule-label-match-examples-local-label"></a>

A lista JSON a seguir mostra uma instrução de correspondência de rótulo para um rótulo que foi adicionado à solicitação da web localmente, no mesmo contexto dessa regra.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Se você usar essa instrução de correspondência na conta 111122223333, em uma regra que você define para `testWebACL` do pacote de proteção (ACL da Web), ela corresponderá aos rótulos a seguir. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

```
awswaf:111122223333:webacl:testWebACL:testNS1:testNS2:header:encoding:utf8
```

Não corresponderia ao rótulo a seguir, porque a string do rótulo não é uma correspondência exata.

```
awswaf:111122223333:webacl:testWebACL:header:encoding2:utf8
```

Não corresponderia ao rótulo a seguir, porque o contexto não é o mesmo e, portanto, o prefixo não corresponde. Isso é verdade mesmo se você adicionou as `productionRules` do grupo de regras à `testWebACL` do pacote de proteção (ACL da Web), no qual a regra é definida. 

```
awswaf:111122223333:rulegroup:productionRules:header:encoding:utf8
```

## Correspondência com um rótulo de outro contexto
<a name="waf-rule-label-match-examples-label"></a>

A lista JSON a seguir mostra uma regra de correspondência de rótulos que corresponde a um rótulo de uma regra dentro de um grupo de regras criado pelo usuário. O prefixo é obrigatório na especificação para todas as regras em execução no pacote de proteção (ACL da Web) que não fazem parte do grupo de regras nomeado. Este exemplo de especificação de rótulo corresponde somente ao rótulo exato. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:111122223333:rulegroup:testRules:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Correspondência com um rótulo de grupo de regras gerenciadas
<a name="waf-rule-label-match-examples-mgd-rg-label"></a>

Este é um caso especial de correspondência com um rótulo que é de outro contexto que não o da regra de correspondência. A lista JSON a seguir mostra uma instrução de correspondência de rótulo para um rótulo de grupo de regras gerenciadas. Isso corresponde somente ao rótulo exato especificado na configuração de chave da instrução de correspondência do rótulo.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "LABEL",
            Key: "awswaf:managed:aws:managed-rule-set:header:encoding:utf8"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

## Correspondência com um namespace local
<a name="waf-rule-label-match-examples-local-namespace"></a>

A lista JSON a seguir mostra uma instrução de correspondência de rótulo para um namespace local.

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "header:encoding:"
        }
    },
    Labels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Semelhante à correspondência de `Label` loca, se você usar esta instrução na conta 111122223333,, na regra que você define para a `testWebACL` do pacote de proteção (ACL da Web), ela corresponderá ao rótulo a seguir. 

```
awswaf:111122223333:webacl:testWebACL:header:encoding:utf8
```

Não corresponderia ao rótulo a seguir, porque a conta não é a mesma e, portanto, o prefixo não corresponde. 

```
awswaf:444455556666:webacl:testWebACL:header:encoding:utf8
```

O prefixo também não corresponde a nenhum rótulo aplicado por grupos de regras gerenciadas, como o seguinte. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

## Correspondência com um namespace de grupo de regras gerenciadas
<a name="waf-rule-label-match-examples-mgd-rg-namespace"></a>

A lista JSON a seguir mostra uma instrução de correspondência de rótulo para um namespace de grupo de regras gerenciadas. Para um grupo de regras que você possui, você também precisaria fornecer o prefixo para corresponder a um namespace que esteja fora do contexto da regra. 

```
Rule: {
    Name: "match_rule",
    Statement: {
        LabelMatchStatement: {
            Scope: "NAMESPACE",
            Key: "awswaf:managed:aws:managed-rule-set:header:"
        }
    },
    RuleLabels: [
        ...generate_more_labels...
    ],
    Action: { Block: {} }
}
```

Essa especificação corresponde aos rótulos de exemplo a seguir. 

```
awswaf:managed:aws:managed-rule-set:header:encoding:utf8
```

```
awswaf:managed:aws:managed-rule-set:header:encoding:unicode
```

Não corresponde ao rótulo a seguir.

```
awswaf:managed:aws:managed-rule-set:query:badstring
```

# Mitigação inteligente de ameaças em AWS WAF
<a name="waf-managed-protections"></a>

Esta seção aborda os recursos gerenciados de mitigação inteligente de ameaças fornecidos pela. AWS WAF Essas são proteções avançadas e especializadas que você pode implementar para se proteger contra ameaças, como bots maliciosos e tentativas de apropriação de contas. 

**nota**  
Os recursos descritos aqui têm custos adicionais, além das taxas básicas de uso AWS WAF. Para obter mais informações, consulte [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/).

A orientação fornecida nesta seção é destinada a usuários que geralmente sabem como criar e gerenciar a AWS WAF WebACLs, regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Topics**
+ [

# Opções para mitigação inteligente de ameaças em AWS WAF
](waf-managed-protections-comparison-table.md)
+ [

# Melhores práticas para mitigação inteligente de ameaças em AWS WAF
](waf-managed-protections-best-practices.md)
+ [

# Uso de tokens na mitigação AWS WAF inteligente de ameaças
](waf-tokens.md)
+ [

# AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)
](waf-acfp.md)
+ [

# AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)
](waf-atp.md)
+ [

# AWS WAF Controle de bots
](waf-bot-control.md)
+ [

# AWS WAF Prevenção distribuída de negação de serviço (DDoS)
](waf-anti-ddos.md)
+ [

# Integrações de aplicativos clientes em AWS WAF
](waf-application-integration.md)
+ [

# CAPTCHAe Challenge em AWS WAF
](waf-captcha-and-challenge.md)

# Opções para mitigação inteligente de ameaças em AWS WAF
<a name="waf-managed-protections-comparison-table"></a>

Esta seção fornece uma comparação detalhada das opções para implementar a mitigação de ameaças inteligentes. 

AWS WAF oferece os seguintes tipos de proteções para mitigação inteligente de ameaças.
+ **AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)** — Detecta e gerencia tentativas maliciosas de criação de contas na página de inscrição do seu aplicativo. A funcionalidade principal é fornecida pelo grupo de regras gerenciadas do ACFP. Para obter mais informações, consulte [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md) e [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)** — Detecta e gerencia tentativas maliciosas de invasão na página de login do seu aplicativo. A funcionalidade principal é fornecida pelo grupo de regras gerenciadas do ATP. Para obter mais informações, consulte [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md) e [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).
+ **AWS WAF Controle de bots** — identifica, rotula e gerencia bots amigáveis e maliciosos. Esse recurso fornece gerenciamento para bots comuns com assinaturas exclusivas em todos os aplicativos e também para bots direcionados que têm assinaturas específicas para um aplicativo. A funcionalidade principal é fornecida pelo grupo de regras gerenciadas do Controle de Bots. Para obter mais informações, consulte [AWS WAF Controle de bots](waf-bot-control.md) e [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).
+ **Integração do aplicativo cliente SDKs** — valide as sessões do cliente e os usuários finais em suas páginas da web e adquira AWS WAF tokens para os clientes usarem em suas solicitações na web. Se você usa ACFP, ATP ou Bot Control, implemente a integração de aplicativos SDKs em seu aplicativo cliente, se possível, para aproveitar ao máximo todos os recursos do grupo de regras. Só recomendamos usar esses grupos de regras sem uma integração do SDK como medida temporária, quando um recurso essencial precisa ser protegido rapidamente e não há tempo suficiente para a integração do SDK. Para obter informações sobre a implementação do SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). 
+ **Challengee ações de CAPTCHA regras** — valide sessões de clientes e usuários finais e adquira AWS WAF tokens para os clientes usarem em suas solicitações na web. Você pode implementá-las em qualquer lugar em que especifique uma ação de regra, em suas regras e como substituições nos grupos de regras que você usa. Essas ações usam AWS WAF JavaScript intersticiais para interrogar o cliente ou o usuário final e exigem aplicativos cliente que ofereçam suporte. JavaScript Para obter mais informações, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

Os grupos de regras AWS gerenciadas de mitigação inteligente de ameaças ACFP, ATP e Bot Control usam tokens para detecção avançada. Para obter informações sobre os recursos que os tokens habilitam nos grupos de regras, consulte [Usando a integração de aplicativos SDKs com o ACFP](waf-acfp-with-tokens.md), [Usando a integração de aplicativos SDKs com o ATP](waf-atp-with-tokens.md) e [Usando a integração de aplicativos SDKs com o Bot Control](waf-bot-with-tokens.md). 

Suas opções para implementar a mitigação inteligente de ameaças vão desde o uso básico de ações de regras para enfrentar desafios e impor a aquisição de tokens até os recursos avançados oferecidos pelos grupos de regras gerenciadas de mitigação AWS inteligente de ameaças.

As tabelas a seguir fornecem comparações detalhadas das opções dos recursos básicos e avançados. 

**Topics**
+ [

# Opções para desafios e aquisição de tokens
](waf-managed-protections-comparison-table-token.md)
+ [

# Opções para grupos de regras gerenciadas para mitigação inteligente de ameaças
](waf-managed-protections-comparison-table-rg.md)
+ [

# Opções para limitação de intervalo em regras baseadas em intervalos e regras direcionadas do Controle de Bots
](waf-rate-limiting-options.md)

# Opções para desafios e aquisição de tokens
<a name="waf-managed-protections-comparison-table-token"></a>

Esta seção compara as opções de gerenciamento de desafios e tokens.

Você pode oferecer desafios e adquirir tokens usando a integração do AWS WAF aplicativo SDKs ou as ações de regras Challenge CAPTCHA e. Em termos gerais, as ações de regras são mais fáceis de implementar, mas geram custos adicionais, interferem mais na experiência do cliente e exigem. JavaScript Eles SDKs exigem programação em seus aplicativos cliente, mas podem fornecer uma melhor experiência ao cliente, são gratuitos e podem ser usados com JavaScript ou em aplicativos Android ou iOS. Você só pode usar a integração de aplicativos SDKs com pacotes de proteção (web ACLs) que usam um dos grupos pagos de regras gerenciadas de mitigação inteligente de ameaças, descritos na seção a seguir. 


**Comparação de opções para desafios e aquisição de tokens**  

|  | Ação da regra do Challenge | Ação da regra do CAPTCHA | JavaScript Desafio do SDK | Desafio do SDK móvel | 
| --- | --- | --- | --- | --- | 
| O que é | Ação de regra que impõe a aquisição do AWS WAF token, apresentando ao cliente do navegador um desafio silencioso (intersticial).  | Ação de regra que impõe a aquisição do AWS WAF token, apresentando ao usuário final do cliente um desafio visual ou de áudio (intersticial).  |  Camada de integração de aplicativos, para navegadores de clientes e outros dispositivos que são executadosJavaScript. Renderiza o desafio silencioso e adquire um token  |  Camada de integração de aplicativos, para aplicativos Android e iOS. Renderiza nativamente o desafio silencioso e adquire um token  | 
| Boa escolha para... | Validação silenciosa contra sessões de bot e aplicação da aquisição de tokens para clientes que oferecem suporte JavaScript  | Validação silenciosa e de usuário final em relação a sessões de bots e aplicação da aquisição de tokens, para clientes que oferecem suporte JavaScript | Validação silenciosa contra sessões de bot e aplicação da aquisição de tokens para clientes que oferecem suporte JavaScript. Eles SDKs fornecem a menor latência e o melhor controle sobre onde o script de desafio é executado no aplicativo. | Validação silenciosa contra sessões de bots e aplicação da aquisição de tokens para aplicativos móveis nativos no Android e iOS. Eles SDKs fornecem a menor latência e o melhor controle sobre onde o script de desafio é executado no aplicativo. | 
| Considerações de implementação | Implementado como uma configuração de ação de regra | Implementado como uma configuração de ação de regra | Requer um dos grupos de regras pagos de ACFP, ATP ou Controle de Bots no pacote de proteção (ACL da Web). Requer codificação no aplicativo cliente. | Requer um dos grupos de regras pagos de ACFP, ATP ou Controle de Bots no pacote de proteção (ACL da Web). Requer codificação no aplicativo cliente. | 
| Considerações sobre runtime | Fluxo intrusivo para solicitações sem tokens válidos. O cliente é redirecionado para um AWS WAF desafio intersticial. Adiciona viagens de ida e volta à rede e exige uma segunda avaliação da solicitação da web.  | Fluxo intrusivo para solicitações sem tokens válidos. O cliente é redirecionado para uma intersticial de CAPTCHA do AWS WAF . Adiciona viagens de ida e volta à rede e exige uma segunda avaliação da solicitação da web.  | Pode ser executado nos bastidores. Oferece mais controle sobre a experiência do desafio.  | Pode ser executado nos bastidores. Oferece mais controle sobre a experiência do desafio.  | 
| Requer JavaScript | Sim | Sim | Sim | Não | 
| Clientes compatíveis | Navegador e dispositivos que executam Javascript | Navegador e dispositivos que executam Javascript | Navegador e dispositivos que executam Javascript | Dispositivos Android e iOS | 
| Oferece suporte a aplicativos de página única (SPA) | Somente aplicação. Você pode usar a Challenge ação em conjunto com o SDKs, para garantir que as solicitações tenham um token de desafio válido. Você não pode usar a ação de regra para entregar o script de desafio à página.  | Somente aplicação. Você pode usar a CAPTCHA ação em conjunto com oSDKs, para garantir que as solicitações tenham um token CAPTCHA válido. Você não pode usar a ação de regra para entregar o script CAPTCHA à página.  | Sim | N/D | 
| Custos adicionais | Sim, para configurações de ação que você especifica explicitamente, nas regras que você define ou como substituições de ação de regra nos grupos de regras que você usa. Não em todos os outros casos.  | Sim, para configurações de ação que você especifica explicitamente, nas regras que você define ou como substituições de ação de regra nos grupos de regras que você usa. Não em todos os outros casos.  | Não, mas requer um dos grupos de regras pagas de ACFP, ATP ou Controle de Bots. | Não, mas requer um dos grupos de regras pagas de ACFP, ATP ou Controle de Bots. | 

Para obter detalhes sobre os custos associados a essas opções, consulte as informações sobre mitigação de ameaças inteligentes em [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/).

Pode ser mais simples executar desafios e fornecer a aplicação básica de tokens simplesmente adicionando uma regra com uma ação Challenge ou CAPTCHA. Talvez seja necessário usar as ações da regra, por exemplo, se você não tiver acesso ao código do aplicativo. 

 SDKs No entanto, se você puder implementar o, poderá economizar custos e reduzir a latência na avaliação do pacote de proteção (web ACL) das solicitações web do cliente, em comparação com o Challenge uso da ação: 
+ Você pode escrever sua implementação de SDK para executar o desafio em qualquer ponto do seu aplicativo. Você pode adquirir o token em segundo plano, antes de qualquer ação do cliente que envie uma solicitação da web ao seu recurso protegido. Dessa forma, o token fica disponível para envio com a primeira solicitação do seu cliente. 
+ Se, em vez disso, você adquirir tokens implementando uma regra com a ação Challenge, a regra e a ação exigirão avaliação e processamento adicionais da solicitação da web quando o cliente enviar uma solicitação pela primeira vez e sempre que o token expirar. A ação Challenge bloqueia a solicitação que não tem um token válido e não expirado e envia o intersticial do desafio de volta ao cliente. Depois que o cliente responde com sucesso ao desafio, a intersticial reenvia a solicitação original da Web com o token válido, que é então avaliado pela segunda vez pelo pacote de proteção (ACL da Web). 

# Opções para grupos de regras gerenciadas para mitigação inteligente de ameaças
<a name="waf-managed-protections-comparison-table-rg"></a>

Esta seção compara as opções de grupos de regras gerenciados.

Os grupos de regras AWS gerenciadas de mitigação inteligente de ameaças fornecem gerenciamento de bots básicos, detecção e mitigação de bots sofisticados e maliciosos, detecção e mitigação de tentativas de invasão de contas e detecção e mitigação de tentativas fraudulentas de criação de contas. Esses grupos de regras, combinados com a integração de aplicativos SDKs descrita na seção anterior, fornecem as proteções mais avançadas e o acoplamento seguro com seus aplicativos cliente. 


**Comparação das opções de grupo de regras gerenciadas**  

|  | ACFP  | ATP  | Nível comum do Controle de Bots | Nível direcionado do Controle de Bots | 
| --- | --- | --- | --- | --- | 
| O que é | Gerencia solicitações que podem fazer parte de tentativas fraudulentas de criação de conta nas páginas de registro e inscrição de um aplicativo.Não gerencia bots. Consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md). | Gerencia solicitações que podem fazer parte de tentativas maliciosas de apropriação na página de login de um aplicativo.Não gerencia bots. Consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md). | Gerencia bots comuns que se identificam automaticamente, com assinaturas exclusivas em todos os aplicativos.Consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). | Gerencia bots direcionados que não se identificam, com assinaturas específicas para um aplicativo.Consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). | 
| Boa escolha para... | Inspeção do tráfego de criação de conta em busca de ataques fraudulentos de criação de contas, como tentativas de criação com traversal de nome de usuário e muitas novas contas criadas a partir de um único endereço IP. | Inspeção do tráfego de login para ataques de apropriação de conta, como tentativas de login com traversal de senha e muitas tentativas de login do mesmo endereço IP. Quando usado com tokens, também fornece proteções agregadas, como limitação de taxa IPs e sessões de cliente para grandes volumes de tentativas de login malsucedidas. | Proteção básica de bots e rotulagem de tráfego de bots comum e automatizado. | Proteção direcionada contra bots sofisticados, incluindo limitação de intervalo no nível da sessão do cliente e detecção e mitigação de ferramentas de automação do navegador, como Selenium e Puppeteer.  | 
| Adiciona rótulos que indicam os resultados da avaliação | Sim | Sim | Sim | Sim | 
| Adiciona rótulos de token | Sim | Sim | Sim | Sim | 
| Bloqueio para solicitações sem um token válido | Não incluído. Consulte [Bloqueio de solicitações que não têm um AWS WAF token válido](waf-tokens-block-missing-tokens.md). | Não incluído. Consulte [Bloqueio de solicitações que não têm um AWS WAF token válido](waf-tokens-block-missing-tokens.md). | Não incluído. Consulte [Bloqueio de solicitações que não têm um AWS WAF token válido](waf-tokens-block-missing-tokens.md). | Bloqueia sessões de clientes que enviam cinco solicitações sem um token. | 
| Requer o AWS WAF token aws-waf-token | Necessário para todas as regras.Consulte [Usando a integração de aplicativos SDKs com o ACFP](waf-acfp-with-tokens.md). | Necessário para muitas regras.Consulte [Usando a integração de aplicativos SDKs com o ATP](waf-atp-with-tokens.md). | Não | Sim | 
| Adquire o token AWS WAF aws-waf-token | Sim, imposto pelo AllRequests da regra | Não | Não | Algumas regras usam ações de regra Challenge ou CAPTCHA, que adquirem tokens. | 

Para obter detalhes sobre os custos associados a essas opções, consulte as informações sobre mitigação de ameaças inteligentes em [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/).

# Opções para limitação de intervalo em regras baseadas em intervalos e regras direcionadas do Controle de Bots
<a name="waf-rate-limiting-options"></a>

Esta seção compara as opções de mitigação com base em intervalos.

O nível-alvo do grupo de regras do AWS WAF Bot Control e a declaração de regra AWS WAF baseada em taxas fornecem limitação da taxa de solicitações na web. A tabela a seguir compara as duas opções.


**Comparação de opções para detecção e mitigação com base em intervalo**  

|  | AWS WAF regra baseada em taxas | AWS WAF Regras específicas do Bot Control | 
| --- | --- | --- | 
| Como a limitação de intervalo é aplicada | Atua em grupos de solicitações que estão chegando em um intervalo muito alto. Você pode aplicar qualquer ação, exceto Allow.  | Impõe padrões de acesso semelhantes aos humanos e aplica limitação dinâmica de intervalo, por meio do uso de tokens de solicitação.  | 
| Com base nas linhas de base históricas de tráfego?  | Não  | Sim  | 
| Tempo necessário para acumular linhas de base históricas de tráfego  | N/D  | Cinco minutos para limites dinâmicos. N/A para o token ausente. | 
| Atraso de mitigação  | Normalmente 30 a 50 segundos. Pode levar alguns minutos.  | Geralmente menos que 10 segundos. Pode levar alguns minutos.  | 
| Alvos de mitigação  | Configurável. Você pode agrupar solicitações usando uma instrução de escopo reduzido e por uma ou mais chaves de agregação, como endereço IP, método HTTP e string de consulta. | Endereços IP e sessões de clientes  | 
| Nível de volume de tráfego necessário para acionar mitigações  | Médio: pode ser tão baixo quanto 10 solicitações na janela de tempo especificada  | Baixo: destinado a detectar padrões de clientes, como extratores lentos  | 
| Limites personalizáveis  | Sim  | Não  | 
| Ação de mitigação padrão | O padrão do console é Block. Nenhuma configuração padrão na API; a configuração é obrigatória. Você pode definir isso para qualquer ação de regra, exceto Allow. | As configurações de ação da regra do grupo de regras são Challenge para ausência de token e CAPTCHA para tráfego de alto volume de uma única sessão de cliente. Você pode definir qualquer uma dessas regras para qualquer ação de regra válida.  | 
| Resiliência contra ataques altamente distribuídos  | Médio: máximo de 10 000 endereços IP para limitação de endereço IP por si só | Média: limitado a um total de 50.000 entre endereços IP e tokens  | 
| [AWS WAF Preços](https://aws.amazon.com/waf/pricing/) | Incluído nas taxas padrão para AWS WAF.  | Incluído nas taxas cobradas para o nível direcionado da mitigação de ameaças inteligentes do Controle de Bots.  | 
| Para saber mais | [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md) | [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) | 

# Melhores práticas para mitigação inteligente de ameaças em AWS WAF
<a name="waf-managed-protections-best-practices"></a>

Siga as práticas recomendadas desta seção para obter a implementação mais eficiente e econômica dos recursos de mitigação de ameaças inteligentes. 
+ **Implemente a JavaScript integração de aplicativos móveis SDKs** — Implemente a integração de aplicativos para habilitar o conjunto completo de funcionalidades de ACFP, ATP ou Bot Control da maneira mais eficaz possível. Os grupos de regras gerenciadas usam os tokens fornecidos pelo SDKs para separar o tráfego legítimo do cliente do tráfego indesejado no nível da sessão. A integração do aplicativo SDKs garante que esses tokens estejam sempre disponíveis. Para obter detalhes, consulte: 
  + [Usando a integração de aplicativos SDKs com o ACFP](waf-acfp-with-tokens.md)
  + [Usando a integração de aplicativos SDKs com o ATP](waf-atp-with-tokens.md)
  + [Usando a integração de aplicativos SDKs com o Bot Control](waf-bot-with-tokens.md)

  Use as integrações para implementar desafios em seu cliente e, para JavaScript, personalizar a forma como os quebra-cabeças CAPTCHA são apresentados aos seus usuários finais. Para obter detalhes, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). 

  Se você personalizar os quebra-cabeças de CAPTCHA usando a JavaScript API e usar a ação de CAPTCHA regra em qualquer lugar do seu pacote de proteção (Web ACL), siga as orientações para lidar com a resposta do AWS WAF CAPTCHA em seu cliente em. [Manipulando uma resposta CAPTCHA de AWS WAF](waf-js-captcha-api-conditional.md) Essa orientação se aplica a todas as regras que usam a ação CAPTCHA, incluindo aquelas do grupo de regras gerenciadas do ACFP e o nível de proteção direcionada do grupo de regras gerenciadas do Controle de Bots. 
+ **Limite as solicitações que você envia aos grupos de regras ACFP, ATP e Bot Control — Você incorre em taxas adicionais pelo uso dos grupos de regras** gerenciadas de mitigação AWS inteligente de ameaças. O grupo de regras do ACFP inspeciona as solicitações para os endpoints de registro e criação da conta que você especificar. O grupo de regras do ATP inspeciona as solicitações para o endpoint de login que você especificar. O grupo de regras do Controle de Bots inspeciona cada solicitação que chega até ele na avaliação do pacote de proteção (ACL da Web). 

  Considere as seguintes abordagens para reduzir o uso desses grupos de regras: 
  + Exclua solicitações da inspeção com uma instrução de redução de escopo na instrução do grupo de regras gerenciadas. Você pode fazer isso com qualquer instrução aninhável. Para mais informações, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
  + Exclua solicitações da inspeção adicionando regras antes do grupo de regras. Para regras que você não pode usar em uma instrução de redução de escopo e para situações mais complexas, como rotulagem seguida pela correspondência de rótulos, convém adicionar regras que sejam executadas antes dos grupos de regras. Para obter informações, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md) e [Usando declarações de regras em AWS WAF](waf-rule-statements.md).
  + Execute os grupos de regras depois de regras mais baratas. Se você tiver outras AWS WAF regras padrão que bloqueiam solicitações por qualquer motivo, execute-as antes desses grupos de regras pagas. Para saber mais sobre regras e gerenciamento de regras, consulte [Usando declarações de regras em AWS WAF](waf-rule-statements.md).
  + Se você estiver usando mais de um dos grupos de regras gerenciadas de mitigação de ameaças inteligentes, execute-os na seguinte ordem para manter os custos baixos: Controle de Bots, ATP, ACFP.

  Para obter informações detalhadas sobre definição de preço, consulte [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).
+ **Não limite as solicitações que você envia ao grupo de regras DDo Anti-S — Esse grupo** de regras funciona melhor quando você o configura para monitorar todo o tráfego da web que você não está permitindo explicitamente. Posicione-o na ACL da Web para ser avaliado somente após as regras com a ação da regra Allow e antes de todas as outras regras. 
+ **Para proteção distribuída de negação de serviço (DDoS), use a mitigação automática da camada DDo S de aplicativos do DDo Anti-S ou do Shield Advanced** — os outros grupos de regras inteligentes de mitigação de ameaças não oferecem proteção S. DDo O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente.

  O DDo Anti-S permite monitorar e controlar DDo os ataques S, permitindo uma resposta rápida e a mitigação das ameaças. O Shield Advanced, com mitigação automática da camada de aplicação DDo S, responde automaticamente aos ataques DDo S detectados criando, avaliando e implantando mitigações personalizadas AWS WAF em seu nome.

  Para saber mais sobre Shield Advanced, consulte [Visão geral do AWS Shield Advanced](ddos-advanced-summary.md) e [Protegendo a camada de aplicação (camada 7) com AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md).

  Para obter mais informações sobre a prevenção de negação de serviço distribuída (DDoS), consulte [Grupo de regras DDo anti-S](aws-managed-rule-groups-anti-ddos.md) e. [Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md)
+  **Ative o grupo de regras DDo Anti-S e o nível de proteção desejado do grupo de regras do Bot Control durante o tráfego normal da web** — Essas categorias de regras precisam de tempo para estabelecer linhas de base para o tráfego normal. 

   **Ativar o nível de proteção direcionada do grupo de regras do Controle de Bots durante o tráfego normal da web**: algumas regras do nível de proteção direcionada precisam de tempo para estabelecer linhas de base para os padrões normais de tráfego antes que possam reconhecer e responder a padrões de tráfego irregulares ou maliciosos. Por exemplo, as regras `TGT_ML_*` precisam de até 24 horas para se aquecerem. 

  Adicione essas proteções quando você não estiver enfrentando um ataque e dê a elas tempo para estabelecer suas linhas de base antes de esperar que respondam adequadamente. Se você adicionar essas regras durante um ataque, precisará ativar o grupo de regras DDo Anti-S no modo de contagem. Após o término do ataque, o tempo para estabelecer uma linha de base geralmente é do dobro ao triplo do tempo normal necessário, devido à distorção adicionada pelo tráfego do ataque. Para obter informações adicionais sobre as regras e os tempos de aquecimento exigidos, consulte [Lista de regras](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).
+ **Para proteção distribuída de negação de serviço (DDoS), use a mitigação automática da camada DDo S do aplicativo Shield Advanced** — Os grupos inteligentes de regras de mitigação de ameaças não fornecem proteção S. DDo O ACFP protege contra tentativas fraudulentas de criação de conta na página de inscrição do seu aplicativo. O ATP protege contra tentativas de apropriação de conta em sua página de login. O Controle de Bots se concentra em aplicar padrões de acesso semelhantes aos humanos usando tokens e limitação dinâmica de intervalos nas sessões do cliente.

  Quando você usa o Shield Advanced com a mitigação automática da camada DDo S do aplicativo ativada, o Shield Advanced responde automaticamente aos ataques DDo S detectados criando, avaliando e implantando mitigações personalizadas AWS WAF em seu nome. Para saber mais sobre Shield Advanced, consulte [Visão geral do AWS Shield Advanced](ddos-advanced-summary.md) e [Protegendo a camada de aplicação (camada 7) com AWS Shield Advanced e AWS WAF](ddos-app-layer-protections.md).
+ **Use cargas de tráfego de produção ao estabelecer linhas de base para o grupo de regras DDo Anti-S** — É uma prática comum testar outros grupos de regras usando tráfego de teste artificial. No entanto, ao testar e estabelecer linhas de base para o grupo de regras DDo Anti-S, recomendamos que você use fluxos de tráfego que reflitam as cargas em seu ambiente de produção. Estabelecer linhas de base DDo anti-S usando tráfego típico é a melhor maneira de garantir que seus recursos sejam protegidos quando o grupo de regras for ativado em um ambiente de produção.
+ **Ajustar e configurar o tratamento de tokens**: ajuste o tratamento de tokens do pacote de proteção (ACL da Web) para obter a melhor experiência do usuário. 
  + Para reduzir os custos operacionais e melhorar a experiência do usuário final, ajuste seus tempos de imunidade de gerenciamento de tokens para o máximo que seus requisitos de segurança permitirem. Isso reduz ao mínimo o uso de quebra-cabeças CAPTCHA e desafios silenciosos. Para mais informações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
  + Para habilitar o compartilhamento de tokens entre aplicações protegidas, configure uma lista de domínios de tokens para o pacote de proteção (ACL da Web). Para mais informações, consulte [Especificando domínios de token e listas de domínios em AWS WAF](waf-tokens-domains.md).
+ **Rejeitar solicitações com especificações arbitrárias de host**: configure seus recursos protegidos para exigir que os cabeçalhos `Host` nas solicitações da web correspondam ao recurso-alvo. Você pode aceitar um valor ou um conjunto específico de valores, como `myExampleHost.com` e `www.myExampleHost.com`, mas não aceitar valores arbitrários para o host. 
+ **Para Application Load Balancers que são origens de CloudFront distribuições, configure CloudFront e manipule AWS WAF corretamente os tokens** — Se você associar seu pacote de proteção (web ACL) a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição, consulte. CloudFront [Configuração necessária para balanceadores de carga de aplicativos que são origens CloudFront](waf-tokens-with-alb-and-cf.md)
+ **Testar e ajustar antes da implantação**: antes de implementar qualquer alteração no pacote de proteção (ACL da Web), siga os procedimentos de testes e ajustes neste guia para ter certeza de que você está obtendo o comportamento esperado. Isso é especialmente importante para esses recursos pagos. Para obter orientação geral, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md). Para obter informações específicas sobre os grupos de regras gerenciadas pagos, consulte [Testando e implantando o ACFP](waf-acfp-deploying.md), [Testando e implantando o ATP](waf-atp-deploying.md) e [Testando e implantando o AWS WAF Bot Control](waf-bot-control-deploying.md).

# Uso de tokens na mitigação AWS WAF inteligente de ameaças
<a name="waf-tokens"></a>

Esta seção explica o que AWS WAF os tokens fazem.

AWS WAF os tokens são parte integrante das proteções aprimoradas oferecidas pela mitigação AWS WAF inteligente de ameaças. Um token, às vezes chamado de impressão digital, é uma coleção de informações sobre uma única sessão de cliente que o cliente armazena e fornece com cada solicitação da web enviada. AWS WAF usa tokens para identificar e separar sessões maliciosas de clientes de sessões legítimas, mesmo quando ambas se originam de um único endereço IP. O uso de tokens impõe custos insignificantes para usuários legítimos, mas caros em grande escala para botnets. 

AWS WAF usa tokens para oferecer suporte à funcionalidade de desafio do navegador e do usuário final, que é fornecida pela integração do aplicativo SDKs e pelas ações Challenge de regras CAPTCHA e. Além disso, os tokens habilitam recursos dos grupos de regras gerenciados de controle de AWS WAF bots e prevenção de invasão de contas.

AWS WAF cria, atualiza e criptografa tokens para clientes que respondem com sucesso a desafios silenciosos e quebra-cabeças de CAPTCHA. Quando um cliente com um token envia uma solicitação da web, ele inclui o token criptografado, AWS WAF decodifica o token e verifica seu conteúdo. 

**Topics**
+ [

# Como AWS WAF usa tokens
](waf-tokens-usage.md)
+ [

# AWS WAF características do token
](waf-tokens-details.md)
+ [

# Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF
](waf-tokens-immunity-times.md)
+ [

# Especificando domínios de token e listas de domínios em AWS WAF
](waf-tokens-domains.md)
+ [

# Tipos de rótulos simbólicos em AWS WAF
](waf-tokens-labeling.md)
+ [

# Bloqueio de solicitações que não têm um AWS WAF token válido
](waf-tokens-block-missing-tokens.md)
+ [

# Configuração necessária para balanceadores de carga de aplicativos que são origens CloudFront
](waf-tokens-with-alb-and-cf.md)

# Como AWS WAF usa tokens
<a name="waf-tokens-usage"></a>

Esta seção explica como AWS WAF usa tokens.

AWS WAF usa tokens para registrar e verificar os seguintes tipos de validação da sessão do cliente: 
+ **CAPTCHA**: os quebra-cabeças CAPTCHA ajudam a distinguir bots de usuários humanos. Um CAPTCHA é executado somente pela ação de regra CAPTCHA. Após a conclusão bem-sucedida do quebra-cabeça, o script do CAPTCHA atualiza o timestamp do CAPTCHA do token. Para saber mais, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).
+ **Desafio**: os desafios são executados silenciosamente para ajudar a distinguir as sessões regulares dos clientes das sessões de bots e para tornar a operação dos bots mais dispendiosa. Quando o desafio é concluído com sucesso, o script do desafio adquire automaticamente um novo token, AWS WAF se necessário, e então atualiza a data e hora do desafio do token. 

  AWS WAF executa desafios nas seguintes situações: 
  + **Integração de aplicativos SDKs** — A integração de aplicativos é SDKs executada dentro das sessões do aplicativo cliente e ajuda a garantir que as tentativas de login só sejam permitidas após o cliente ter respondido com sucesso a um desafio. Para obter mais informações, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).
  + **Ação de regra Challenge**: para mais informações, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).
  + **CAPTCHA**: quando um intersticial CAPTCHA é executada, se o cliente ainda não tiver um token, o script executa automaticamente um desafio primeiro, para verificar a sessão do cliente e inicializar o token. 

Os tokens são exigidos por muitas das regras dos grupos de regras de regras AWS gerenciadas de ameaças inteligentes. As regras usam tokens para fazer coisas como distinguir entre clientes no nível da sessão, determinar as características do navegador e entender o nível de interatividade humana na página da web do aplicativo. Esses grupos de regras invocam o gerenciamento de AWS WAF tokens, que aplica a rotulagem de tokens que os grupos de regras então inspecionam. 
+ **AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)** — As regras do ACFP exigem solicitações na web com tokens válidos. Para saber mais sobre as regras, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).
+ **AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)** — As regras da ATP que evitam sessões de alto volume e longa duração com clientes exigem solicitações da web que tenham um token válido com um timestamp de desafio não expirado. Para obter mais informações, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).
+ **AWS WAF Controle de bots** — As regras específicas desse grupo de regras limitam o número de solicitações da web que um cliente pode enviar sem um token válido e usam o rastreamento de sessão de token para monitoramento e gerenciamento em nível de sessão. Conforme necessário, as regras aplicam as ações de regra Challenge e CAPTCHApara impor a aquisição de tokens e o comportamento válido do cliente. Para saber mais, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).

# AWS WAF características do token
<a name="waf-tokens-details"></a>

Cada token tem as seguintes características: 
+ O token é armazenado em um cookie chamado `aws-waf-token`.
+ O token é criptografado.
+ O token imprime a sessão do cliente com um identificador granular fixo que contém as seguintes informações: 
  + O timestamp da última resposta bem-sucedida do cliente a um desafio silencioso. 
  + O timestamp da última resposta bem-sucedida do usuário final a um CAPTCHA. Isso só está presente se você usar CAPTCHA em suas proteções. 
  + Informações adicionais sobre o cliente e o comportamento do cliente que podem ajudar a separar seus clientes legítimos do tráfego indesejado. As informações incluem vários identificadores de clientes e sinais do lado do cliente que podem ser usados para detectar atividades automatizadas. As informações coletadas não são exclusivas e não podem ser mapeadas para um ser humano individual. 
    + Todos os tokens incluem dados da interrogação do navegador do cliente, como indicações de automação e inconsistências nas configurações do navegador. Essas informações são recuperadas pelos scripts que são executados pela Challenge ação e pelo aplicativo SDKs cliente. Os scripts interrogam ativamente o navegador e colocam os resultados no token. 
    + Além disso, quando você implementa um SDK de integração de aplicativos clientes, o token inclui informações coletadas passivamente sobre a interatividade do usuário final com a página do aplicativo. A interatividade inclui movimentos do mouse, pressionamentos de teclas e interações com qualquer formulário HTML presente na página. Essas informações ajudam o AWS WAF a detectar o nível de interatividade humana no cliente, para desafiar usuários que não parecem ser humanos. Para obter informações sobre integrações do lado do cliente, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).

Por motivos de segurança, AWS não fornece uma descrição completa do conteúdo dos AWS WAF tokens nem informações detalhadas sobre o processo de criptografia do token. 

# Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF
<a name="waf-tokens-immunity-times"></a>

Esta seção explica como os timestamps de desafios e CAPTCHA expiram.

AWS WAF usa tempos de imunidade de desafio e CAPTCHA para controlar a frequência com que uma única sessão de cliente pode receber um desafio ou CAPTCHA. Depois que um usuário final responde com sucesso a um CAPTCHA, o tempo de imunidade do CAPTCHA determina por quanto tempo o usuário final permanece imune à apresentação de outro CAPTCHA. Da mesma forma, o tempo de imunidade ao desafio determina por quanto tempo uma sessão de cliente permanece imune a ser desafiada novamente após responder com sucesso a um desafio. 

**Como funcionam os tempos de imunidade AWS WAF simbólica**

AWS WAF registra uma resposta bem-sucedida a um desafio ou CAPTCHA atualizando o timestamp correspondente dentro do token. Ao AWS WAF inspecionar o token em busca de desafio ou CAPTCHA, ele subtrai o timestamp da hora atual. Se o resultado for maior que o tempo de imunidade configurado, o timestamp expirará. 

**Aspectos configuráveis dos tempos de imunidade de AWS WAF tokens**

Você pode configurar os tempos de imunidade a desafio e CAPTCHA no pacote de proteção (ACL da Web) e também em qualquer regra que use a ação da regra CAPTCHA ou Challenge. 
+ A configuração padrão de pacote de proteção (ACL da Web) para ambos os tempos de imunidade é de 300 segundos. 
+ Você pode especificar o tempo de imunidade para qualquer regra que use a ação CAPTCHA ou Challenge. Se você não especificar o tempo de imunidade para a regra, ela herdará a configuração do pacote de proteção (ACL da Web). 
+ Para uma regra em um grupo de regras que usa a ação CAPTCHA ou Challenge, se você não especificar o tempo de imunidade para a regra, ela herdará a configuração de cada pacote de proteção (ACL da Web) em que você usa o grupo de regras.
+ A integração do aplicativo SDKs usa o tempo de imunidade ao desafio do pacote de proteção (web ACL). 
+ O valor mínimo do tempo limite do desafio de imunidade é 300 segundos. O valor mínimo do tempo limite do CAPTCHA de imunidade é 60 segundos. O valor máximo para ambos os tempos de imunidade é de 259.200 segundos ou três dias. 

Você pode usar o pacote de proteção (ACL da Web) e as configurações de tempo de imunidade de nível da regra para ajustar a ação CAPTCHA, Challenge ou o comportamento de gerenciamento de desafios do SDK. Por exemplo, você pode configurar regras que controlam o acesso a dados altamente confidenciais com baixos tempos de imunidade e, em seguida, definir tempos de imunidade mais altos em seu pacote de proteção (Web ACL) para suas outras regras e SDKs para herdar. 

Em particular para o CAPTCHA, resolver um quebra-cabeça pode degradar a experiência do seu cliente no site, portanto, ajustar o tempo de imunidade do CAPTCHA pode ajudá-lo a mitigar o impacto na experiência do cliente e, ao mesmo tempo, fornecer as proteções desejadas. 

Para obter informações adicionais sobre como ajustar os tempos de imunidade para o uso das ações de regra Challenge e CAPTCHA, consulte [Práticas recomendadas para usar as ações CAPTCHA e Challenge](waf-captcha-and-challenge-best-practices.md).

# Onde definir os tempos de imunidade do AWS WAF token
<a name="waf-tokens-immunity-times-setting"></a>

Você pode definir os tempos de imunidade no pacote de proteção (ACL da Web) e nas regras que usam as ações de regra Challenge e CAPTCHA. 

Para obter informações gerais sobre o gerenciamento de um pacote de proteção (ACL da Web) e suas regras, consulte [Visualizando métricas de tráfego da web em AWS WAF](web-acl-working-with.md).

**Onde definir o tempo de imunidade para um pacote de proteção (ACL da Web)**
+ **Console**: ao editar o pacote de proteção (ACL da Web) na guia **Regras**, edite e altere as configurações nos painéis **Configuração de CAPTCHA do pacote de proteção (ACL da Web)** e **Configuração de desafio do pacote de proteção (ACL da Web)**. No console, você pode configurar o CAPTCHA do pacote de proteção (ACL da Web) e os tempos de imunidade a desafios somente depois de criar o pacote de proteção (ACL da Web).
+ **Fora do console**: o tipo de dados do pacote de proteção (ACL da Web) tem parâmetros de configuração de CAPTCHA e desafio que você pode configurar e fornecer às suas operações de criação e atualização no pacote de proteção (ACL da Web). 

**Onde definir o tempo de imunidade para uma regra**
+ **Console**: ao criar ou editar uma regra e especificar a ação CAPTCHA ou Challenge, você pode modificar a configuração do tempo de imunidade da regra. 
+ **Fora do console**: o tipo de dados da regra tem parâmetros de configuração de CAPTCHA e desafio, que você pode configurar ao definir a regra. 

# Especificando domínios de token e listas de domínios em AWS WAF
<a name="waf-tokens-domains"></a>

Esta seção explica como configurar os domínios que são AWS WAF usados em tokens e que são aceitos em tokens.

Ao AWS WAF criar um token para um cliente, ele o configura com um domínio de token. Quando o AWS WAF inspeciona um token em uma solicitação da Web, ele rejeitará o token como inválido se o domínio não corresponder a nenhum dos domínios considerados válidos para o pacote de proteção (ACL da Web). 

Por padrão, AWS WAF só aceita tokens cuja configuração de domínio corresponda exatamente ao domínio host do recurso associado ao pacote de proteção (Web ACL). Esse é o valor do cabeçalho `Host` na solicitação da web. Em um navegador, você pode encontrar esse domínio na JavaScript `window.location.hostname` propriedade e no endereço que o usuário vê na barra de endereço. 

Você também pode especificar domínios de token aceitáveis na configuração do pacote de proteção (ACL da Web), conforme descrito na próxima seção. Nesse caso, AWS WAF aceita correspondências exatas com o cabeçalho do host e correspondências com domínios na lista de domínios do token.

Você pode especificar domínios de token AWS WAF a serem usados ao definir o domínio e ao avaliar um token em um pacote de proteção (Web ACL). Os domínios que você especifica não podem ser sufixos públicos, como `gov.au`. Para os domínios que você não pode usar, consulte a lista [https://publicsuffix.org/list/public_suffix_list.dat](https://publicsuffix.org/list/public_suffix_list.dat) em [Lista pública de sufixos](https://publicsuffix.org/list/).

## AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)
<a name="waf-tokens-domain-lists"></a>

Você pode configurar um pacote de proteção (web ACL) para compartilhar tokens em vários recursos protegidos fornecendo uma lista de domínios de tokens com os domínios adicionais que você AWS WAF deseja aceitar. Com uma lista de domínios de token, AWS WAF ainda aceita o domínio host do recurso. Além disso, ele aceita todos os domínios da lista de domínios de tokens, incluindo seus subdomínios prefixados. 

Por exemplo, uma especificação de domínio `example.com` na sua lista de domínios de tokens corresponde a `example.com` (de `http://example.com/`), `api.example.com`, (de `http://api.example.com/`) e `www.example.com` (de `http://www.example.com/`). Não corresponde a `example.api.com`, (de `http://example.api.com/`) ou `apiexample.com` (de `http://apiexample.com/`).

Você pode configurar a lista de domínios de tokens no pacote de proteção (ACL da Web) ao criá-lo ou editá-lo. Para obter informações gerais sobre como gerenciar um pacote de proteção (ACL da Web), consulte [Visualizando métricas de tráfego da web em AWS WAF](web-acl-working-with.md).

## AWS WAF configurações de domínio de token
<a name="waf-tokens-domain-in-token"></a>

AWS WAF cria tokens a pedido dos scripts de desafio, que são executados pela integração do aplicativo SDKs Challenge e pelas ações da CAPTCHA regra. 

O domínio AWS WAF definido em um token é determinado pelo tipo de script de desafio que o está solicitando e por qualquer configuração adicional de domínio de token fornecida por você. AWS WAF define o domínio no token para a configuração mais curta e geral que ele pode encontrar na configuração.
+ **JavaScript SDK** — Você pode configurar o JavaScript SDK com uma especificação de domínio de token, que pode incluir um ou mais domínios. Os domínios que você configura devem ser domínios que AWS WAF serão aceitos, com base no domínio do host protegido e na lista de domínios de token do pacote de proteção (web ACL). 

  Quando AWS WAF emite um token para o cliente, ele define o domínio do token como um que corresponda ao domínio do host e seja o mais curto, entre o domínio do host e os domínios na sua lista configurada. Por exemplo, se o domínio do host for `api.example.com` e a lista de domínios do token tiver`example.com`, AWS WAF use `example.com` o token, porque ele corresponde ao domínio do host e é mais curto. Se você não fornecer uma lista de domínios de token na configuração da JavaScript API, AWS WAF defina o domínio como o domínio host do recurso protegido.

  Para obter mais informações, consulte [Fornecimento de domínios para uso nos tokens](waf-js-challenge-api-set-token-domain.md). 
+ **SDK móvel**: no código do seu aplicativo, você deve configurar o SDK móvel com uma propriedade de domínio de token. Essa propriedade deve ser um domínio que o AWS WAF aceite, com base no domínio do host protegido e na lista de domínios de tokens do pacote de proteção (ACL da Web). 

  Ao AWS WAF emitir um token para o cliente, ele usa essa propriedade como domínio do token. AWS WAF não usa o domínio host nos tokens que ele emite para o cliente SDK móvel. 

  Para saber mais, consulte a configuração `WAFConfiguration` de `domainName` em [AWS WAF especificação de SDK móvel](waf-mobile-sdk-specification.md). 
+ **Challengeação** — Se você especificar uma lista de domínios de token no pacote de proteção (Web ACL), AWS WAF definirá o domínio de token como aquele que corresponda ao domínio do host e seja o mais curto, entre o domínio do host e os domínios da lista. Por exemplo, se o domínio do host for `api.example.com` e a lista de domínios do token tiver`example.com`, AWS WAF use `example.com` o token, porque ele corresponde ao domínio do host e é mais curto. Se você não fornecer uma lista de domínios de token no pacote de proteção (Web ACL), AWS WAF defina o domínio como o domínio host do recurso protegido. 

# Tipos de rótulos simbólicos em AWS WAF
<a name="waf-tokens-labeling"></a>

Esta seção descreve os rótulos que o gerenciamento de AWS WAF tokens adiciona às solicitações da web. Para obter informações gerais sobre rótulos, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

Quando você usa qualquer um dos grupos de regras gerenciados por AWS WAF bots ou controle de fraudes, os grupos de regras usam o gerenciamento de AWS WAF tokens para inspecionar os tokens de solicitação da web e aplicar a rotulagem de tokens às solicitações. Para obter informações sobre os grupos de regras gerenciadas, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md), [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) e [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).

**nota**  
AWS WAF aplica rótulos de token somente quando você usa um desses grupos de regras gerenciadas de mitigação inteligente de ameaças. 

O gerenciamento de token pode adicionar os rótulos apresentados a seguir às solicitações da Web.

**Rótulo de sessão do cliente**  
O rótulo `awswaf:managed:token:id:identifier` contém um identificador exclusivo que o gerenciamento de AWS WAF tokens usa para identificar a sessão do cliente. O identificador pode ser alterado se o cliente adquirir um novo token, por exemplo, após descartar o token que estava usando. 

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Impressão digital do navegador**  
O rótulo `awswaf:managed:token:fingerprint:fingerprint-identifier` contém um identificador robusto de impressão digital do navegador que o gerenciamento de AWS WAF tokens calcula a partir de vários sinais do navegador do cliente. Esse identificador permanece o mesmo em várias tentativas de obtenção de tokens. O identificador de impressão digital não é específico de um único cliente.

**nota**  
AWS WAF não relata CloudWatch métricas da Amazon para esse rótulo.

**Rótulos de status do token: prefixos de namespace para os rótulos**  
Os rótulos de status do token informam sobre o status do token e sobre as informações de desafio e de CAPTCHA que ele contém. 

Cada rótulo de status do token começa com um dos seguintes prefixos de namespace: 
+ `awswaf:managed:token:`: usado para relatar o status geral do token e para informar o status das informações de desafio do token. 
+ `awswaf:managed:captcha:`: usado para relatar o status das informações de CAPTCHA do token. 

**Rótulos de status do token: nomes de rótulos**  
Na sequência do prefixo, o restante do rótulo fornece informações detalhadas sobre o status do token: 
+ `accepted`: o token de solicitação está presente e contém o seguinte: 
  + Uma solução de desafio ou de CAPTCHA válida.
  + Um carimbo de data/hora de desafio ou de CAPTCHA não expirado.
  + Uma especificação de domínio válida para o pacote de proteção (ACL da Web). 

  Exemplo: o rótulo `awswaf:managed:token:accepted` indica que o token de solicitações da Web tem uma solução de desafio válida, um carimbo de data/hora de desafio não expirado e um domínio válido.
+ `rejected`: o token de solicitação está presente, mas não atende aos critérios de aceitação. 

  Em conjunto com o rótulo rejeitado, o gerenciamento de token adiciona um namespace e um nome de rótulo personalizado para indicar o motivo. 
  + `rejected:not_solved`: a solução de desafio ou de CAPTCHA está ausente no token. 
  + `rejected:expired`: o timestamp de desafio ou de CAPTCHA do token expirou, de acordo com os tempos de imunidade de token configurados do pacote de proteção (ACL da Web). 
  + `rejected:domain_mismatch`: o domínio do token não corresponde à configuração de domínio do token do pacote de proteção (ACL da Web). 
  + `rejected:invalid`— não AWS WAF consegui ler o token indicado. 

  Exemplo: os rótulos `awswaf:managed:captcha:rejected` e `awswaf:managed:captcha:rejected:expired` juntos indicam que a solicitação não tinha uma solução de CAPTCHA válida porque o timestamp do CAPTCHA no token excedeu o tempo de imunidade de token de CAPTCHA configurado no pacote de proteção (ACL da Web).
+ `absent`: a solicitação não tem o token ou o gerenciador de token não conseguiu realizar a leitura dele. 

  Exemplo: o rótulo `awswaf:managed:captcha:absent` indica que a solicitação não tem o token. 

# Bloqueio de solicitações que não têm um AWS WAF token válido
<a name="waf-tokens-block-missing-tokens"></a>

Esta seção explica como bloquear solicitações de login que não têm seus tokens ao usar o SDK AWS WAF móvel.

Quando você usa os grupos de regras AWS gerenciadas de ameaças inteligentes`AWSManagedRulesACFPRuleSet`, e `AWSManagedRulesATPRuleSet``AWSManagedRulesBotControlRuleSet`, os grupos de regras invocam o gerenciamento de AWS WAF tokens para avaliar o status do token de solicitação da web e rotular as solicitações adequadamente. 

**nota**  
A rotulagem de token é aplicada somente às solicitações da web que você avalia usando um desses grupos de regras gerenciadas.

Para obter informações sobre a rotulagem que o gerenciamento de token aplica, consulte a seção anterior, [Tipos de rótulos simbólicos em AWS WAF](waf-tokens-labeling.md). 

Os grupos de regras gerenciadas de mitigação de ameaças inteligentes, então, lidam com os requisitos de token da seguinte forma:
+ A regra `AllRequests` de `AWSManagedRulesACFPRuleSet` está configurada para executar a ação Challenge em todas as solicitações, bloqueando efetivamente qualquer uma que não tenha o rótulo de token `accepted`. 
+ O `AWSManagedRulesATPRuleSet` bloqueia as solicitações que têm o rótulo de token `rejected`, mas não bloqueia as solicitações com o rótulo de token `absent`. 
+ O nível de proteção direcionada do `AWSManagedRulesBotControlRuleSet` desafia os clientes depois que eles enviam cinco solicitações sem um rótulo de token `accepted`. Ele não bloqueia uma solicitação individual que não tenha um token válido. O nível de proteção comum do grupo de regras não gerencia os requisitos de token. 

Para obter detalhes adicionais sobre os grupos de regras de ameaças inteligentes, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md), [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) e [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). 

**Para bloquear solicitações sem tokens ao usar o grupo de regras gerenciadas do Controle de Bots ou do ATP**  
Com os grupos de regras do Controle de Bots e do ATP, é possível que uma solicitação sem um token válido saia da avaliação do grupo de regras e continue sendo avaliada pelo pacote de proteção (ACL da Web). 

Para bloquear todas as solicitações sem token ou cujo token foi rejeitado, adicione uma regra a ser executada imediatamente após o grupo de regras gerenciadas para capturar e bloquear solicitações que o grupo de regras não processa para você. 

O exemplo a seguir é uma listagem JSON para um pacote de proteção (ACL da Web) que usa o grupo de regras gerenciadas do ATP. O pacote de proteção (ACL da Web) tem uma regra adicional para capturar o rótulo `awswaf:managed:token:absent` e processá-lo. A regra restringe sua avaliação às solicitações da web que vão para o endpoint de login, de acordo com o escopo do grupo de regras do ATP. A regra adicionada está listada em negrito. 

```
{
  "Name": "exampleWebACL",
  "Id": "55555555-6666-7777-8888-999999999999",
  "ARN": "arn:aws:wafv2:us-east-1:111111111111:regional/webacl/exampleWebACL/55555555-4444-3333-2222-111111111111",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesATPRuleSet",
      "Priority": 1,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesATPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesATPRuleSet": {
                "LoginPath": "/web/login",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  }
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401,
                      403,
                      500
                    ]
                  }
                }
              }  
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesATPRuleSet"
      }
    },
    {
      "Name": "RequireTokenForLogins",
      "Priority": 2,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "Statement": {
                "LabelMatchStatement": {
                  "Scope": "LABEL",
                  "Key": "awswaf:managed:token:absent"
                }
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "/web/login",
                "FieldToMatch": {
                  "UriPath": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                 }
                ],
                "PositionalConstraint": "STARTS_WITH"
              }
            },
            {
              "ByteMatchStatement": {
                "SearchString": "POST",
                "FieldToMatch": {
                  "Method": {}
                },
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ],
                "PositionalConstraint": "EXACTLY"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RequireTokenForLogins"
      } 
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "exampleWebACL"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111111111111:webacl:exampleWebACL:"
}
```

# Configuração necessária para balanceadores de carga de aplicativos que são origens CloudFront
<a name="waf-tokens-with-alb-and-cf"></a>

Leia esta seção se você associar seu pacote de proteção (web ACL) a um Application Load Balancer e implantar o Application Load Balancer como origem de uma distribuição. CloudFront 

Com essa arquitetura, você precisa fornecer a seguinte configuração adicional para que as informações do token sejam tratadas corretamente.
+ Configure CloudFront para encaminhar o `aws-waf-token` cookie para o Application Load Balancer. Por padrão, CloudFront remove os cookies da solicitação da web antes de encaminhá-la para a origem. Para manter o cookie de token com a solicitação da web, configure o comportamento CloudFront do cache para incluir apenas o cookie de token ou todos os cookies. Para obter informações sobre como fazer isso, consulte Armazenamento em [cache de conteúdo com base em cookies no](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Cookies.html) *Amazon CloudFront Developer Guide*.
+ Configure AWS WAF para que ele reconheça o domínio da CloudFront distribuição como um domínio de token válido. Por padrão, CloudFront define o `Host` cabeçalho como a origem do Application Load Balancer e a AWS WAF usa como o domínio do recurso protegido. O navegador do cliente, no entanto, vê a CloudFront distribuição como o domínio do host, e os tokens gerados para o cliente usam o CloudFront domínio como o domínio do token. Sem nenhuma configuração adicional, ao AWS WAF verificar o domínio do recurso protegido em relação ao domínio do token, haverá uma incompatibilidade. Para corrigir isso, adicione o nome do domínio de CloudFront distribuição à lista de domínios do token na configuração do pacote de proteção (Web ACL). Para obter informações sobre como fazer isso, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

# AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)
<a name="waf-acfp"></a>

Esta seção explica o que a prevenção de AWS WAF fraudes na criação de contas (ACFP) do Fraud Control faz.

A fraude na criação de conta é uma atividade ilegal online na qual um invasor tenta criar uma ou mais contas falsas. Os invasores usam contas falsas para executar atividades fraudulentas, como abusar de bônus promocionais e de inscrição, se passar por alguém e realizar ataques cibernéticos, como phishing. A presença de contas falsas pode impactar negativamente seus negócios, prejudicando sua reputação com os clientes e sua exposição a fraudes financeiras. 

Você pode monitorar e controlar as tentativas de fraude na criação de contas implementando o recurso ACFP. AWS WAF oferece esse recurso no grupo de regras de regras AWS gerenciadas `AWSManagedRulesACFPRuleSet` com integração de aplicativos complementares SDKs. 

O grupo de regras gerenciadas do ACFP rotula e gerencia solicitações que podem fazer parte de tentativas maliciosas de criação de contas. O grupo de regras faz isso inspecionando as tentativas de criação de conta que os clientes enviam para o endpoint de inscrição de conta do seu aplicativo. 

O ACFP protege as páginas de inscrição da sua conta monitorando as solicitações de inscrição de conta em busca de atividades anômalas e bloqueando automaticamente as solicitações suspeitas. O grupo de regras usa identificadores de solicitação, análise comportamental e machine learning para detectar solicitações fraudulentas. 
+ **Inspeção de solicitações**: o ACFP oferece visibilidade e controle sobre tentativas anômalas de criação de conta e tentativas que usam credenciais roubadas, para evitar a criação de contas fraudulentas. O ACFP verifica as combinações de e-mail e senha em seu banco de dados de credenciais roubadas, que é atualizado regularmente à medida que novas credenciais vazadas são encontradas na dark web. O ACFP avalia os domínios usados em endereços de e-mail e monitora o uso de números de telefone e campos de endereço para verificar as entradas e detectar comportamentos fraudulentos. O ACFP agrega dados por endereço IP e sessão do cliente, para detectar e bloquear clientes que enviam muitas solicitações de natureza suspeita. 
+ **Inspeção de respostas** — Para CloudFront distribuições, além de inspecionar as solicitações de criação de contas recebidas, o grupo de regras do ACFP inspeciona as respostas do seu aplicativo às tentativas de criação de contas, para monitorar as taxas de sucesso e falha. Usando essas informações, o ACFP pode bloquear temporariamente sessões de clientes ou endereços IP que tenham muitas tentativas com falha. O AWS WAF executa a inspeção de resposta de forma assíncrona, para que isso não aumente a latência no tráfego da web. 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

**nota**  
O recurso do ACFP não está disponível para grupos de usuários do Amazon Cognito.

**Topics**
+ [

# AWS WAF Componentes do ACFP
](waf-acfp-components.md)
+ [

# Usando a integração de aplicativos SDKs com o ACFP
](waf-acfp-with-tokens.md)
+ [

# Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL
](waf-acfp-rg-using.md)
+ [

# Testando e implantando o ACFP
](waf-acfp-deploying.md)
+ [

# AWS WAF Exemplos de prevenção de fraudes (ACFP) na criação de contas de controle de fraudes
](waf-acfp-control-examples.md)

# AWS WAF Componentes do ACFP
<a name="waf-acfp-components"></a>

Os principais componentes da prevenção de AWS WAF fraudes na criação de contas (ACFP) do Fraud Control são os seguintes: 
+ **`AWSManagedRulesACFPRuleSet`**— As regras desse grupo de regras de regras AWS gerenciadas detectam, rotulam e tratam vários tipos de atividades fraudulentas de criação de contas. O grupo de regras inspeciona as `GET` text/html solicitações HTTP que os clientes enviam para o endpoint de registro de conta especificado e as solicitações `POST` da web que os clientes enviam para o endpoint de inscrição de conta especificado. Para CloudFront distribuições protegidas, o grupo de regras também inspeciona as respostas que a distribuição envia de volta às solicitações de criação de conta. Para obter uma lista das regras desse grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md). Você inclui esse grupo de regras no pacote de proteção (ACL da Web) usando uma instrução de referência de grupo de regras gerenciadas. Para obter informações sobre como usar dxxd grupo de regras, consulte [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md). 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).
+ **Detalhes sobre as páginas de registro e criação de conta da aplicação**: você deve fornecer informações sobre as páginas de registro e criação de sua conta ao adicionar o grupo de regras `AWSManagedRulesACFPRuleSet` ao pacote de proteção (ACL da Web). Isso permite que o grupo de regras restrinja o escopo das solicitações inspecionadas e valide adequadamente as solicitações web de criação de conta. A página de registro deve aceitar `GET` text/html solicitações. O caminho de criação da conta deve aceitar solicitações `POST`. O grupo de regras do ACFP funciona com nomes de usuário em formato de e-mail. Para obter mais informações, consulte [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md). 
+ **Para CloudFront distribuições protegidas, detalhes sobre como seu aplicativo responde às tentativas de criação de conta — Você fornece detalhes sobre as respostas do seu aplicativo às tentativas** de criação de conta, e o grupo de regras do ACFP rastreia e gerencia as tentativas de criação de contas em massa a partir de um único endereço IP ou de uma única sessão de cliente. Para obter informações sobre como configurar essa opção, consulte [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md). 
+ **JavaScript e integração de aplicativos móveis SDKs** — implemente o AWS WAF JavaScript e o mobile SDKs com sua implementação de ACFP para habilitar o conjunto completo de recursos que o grupo de regras oferece. Muitas das regras do ACFP usam as informações fornecidas pelo SDKs para verificação de clientes em nível de sessão e agregação de comportamento, necessárias para separar o tráfego legítimo do cliente do tráfego de bots. Para obter mais informações sobre o SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).

Você pode combinar sua implementação de ACFP com o seguinte para ajudar a monitorar, ajustar e personalizar suas proteções. 
+ **Registro e métricas** — Você pode monitorar seu tráfego e entender como o grupo de regras gerenciadas do ACFP o afeta, configurando e habilitando registros, a coleta de dados do Amazon Security Lake e as CloudWatch métricas da Amazon para seu pacote de proteção (web ACL). Os rótulos que `AWSManagedRulesACFPRuleSet` adiciona às suas solicitações da Web são incluídos nos dados. Para obter informações sobre as opções, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md), [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).

  Dependendo das suas necessidades e do tráfego que você vê, talvez você queira personalizar sua implementação de `AWSManagedRulesACFPRuleSet`. Por exemplo, talvez você queira excluir algum tráfego da avaliação do ACFP ou alterar a forma como ele lida com algumas das tentativas de fraude na criação de contas que ele identifica, usando AWS WAF recursos como declarações de escopo ou regras de correspondência de rótulos. 
+ **Rótulos e regras de correspondência de rótulos**: para qualquer uma das regras em `AWSManagedRulesACFPRuleSet`, você pode alternar o comportamento de bloqueio para contagem e, em seguida, corresponder com os rótulos adicionados pelas regras. Use essa abordagem para personalizar a forma como você lida com solicitações da web identificadas pelo grupo de regras gerenciadas do ACFP. Para saber mais sobre rotulagem e uso de instruções de correspondência de rótulos, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md). 
+ **Solicitações e respostas personalizadas**: você pode adicionar cabeçalhos personalizados às solicitações permitidas e enviar respostas personalizadas para solicitações bloqueadas. Para fazer isso, você combina sua correspondência de rótulos com os recursos personalizados de solicitação e resposta do AWS WAF . Para saber mais sobre como personalizar solicitações e respostas, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

# Usando a integração de aplicativos SDKs com o ACFP
<a name="waf-acfp-with-tokens"></a>

É altamente recomendável implementar a integração SDKs de aplicativos para o uso mais eficiente do grupo de regras do ACFP. 
+ **Funcionalidade completa do grupo de regras**:A regra `SignalClientHumanInteractivityAbsentLow` do ACFP só funciona com tokens que são preenchidos pelas integrações de aplicativos. Essa regra detecta e gerencia a interatividade humana anormal com a página do aplicativo. A integração do aplicativo SDKs pode detectar a interatividade humana normal por meio de movimentos do mouse, pressionamentos de teclas e outras medições. As intersticiais que são enviadas pelas ações da regra CAPTCHA e Challenge não podem fornecer esse tipo de dados. 
+ **Latência reduzida**: a regra `AllRequests` do grupo de regras aplica a ação de regra Challenge a qualquer solicitação que ainda não tenha um token de desafio. Quando isso acontece, a solicitação é avaliada pelo grupo de regras duas vezes: uma vez sem o token e uma segunda vez após o token ser adquirido por meio da intersticial da ação Challenge. Não é cobrada nenhuma taxa adicional apenas pelo uso da regra `AllRequests`, mas essa abordagem aumenta o tráfego da web e aumenta a latência da experiência do usuário final. Se você adquirir o token do lado do cliente usando as integrações de aplicativos, antes de enviar a solicitação de criação da conta, o grupo de regras do ACFP avaliará a solicitação uma vez. 

Para saber mais sobre as capacidades do grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).

Para obter informações sobre o SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter informações sobre AWS WAF tokens, consulte[Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Para mais informações sobre as ações de regra, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

# Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL
<a name="waf-acfp-rg-using"></a>

Esta seção explica como adicionar e configurar o grupo de regras `AWSManagedRulesACFPRuleSet`.

Para configurar o grupo de regras gerenciadas do ACFP para reconhecer atividades fraudulentas de criação de conta em seu tráfego da web, você fornece informações sobre como os clientes acessam sua página de registro e enviam solicitações de criação de conta para seu aplicativo. Para CloudFront distribuições protegidas da Amazon, você também fornece informações sobre como seu aplicativo responde às solicitações de criação de contas. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas. 

Para obter a descrição do grupo de regras e a lista de regras, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).

**nota**  
O banco de dados de credenciais roubadas do ACFP contém apenas nomes de usuário em formato de e-mail.

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console](waf-using-managed-rule-group.md).

**Siga as práticas recomendadas**  
Use o grupo de regras do ACFP de acordo com as práticas recomendadas em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md). 

**Para usar o grupo de regras `AWSManagedRulesACFPRuleSet` no pacote de proteção (ACL da Web)**

1. Adicione o grupo de regras AWS gerenciadas `AWSManagedRulesACFPRuleSet` ao seu pacote de proteção (Web ACL) e **edite** as configurações do grupo de regras antes de salvar. 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

1. No painel **Configuração de grupo de regras**, forneça as informações que o grupo de regras do ACFP usa para inspecionar as solicitações de criação de conta. 

   1. Em **Usar expressão regular em caminhos**, ative essa opção se quiser realizar AWS WAF a correspondência de expressões regulares para suas especificações de caminho de página de registro e criação de conta. 

      AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

   1. Em **Caminho da página de registro**, forneça o caminho do endpoint da página de registro para seu aplicativo. Essa página deve aceitar solicitações `GET` text/html . O grupo de regras inspeciona somente as `GET` text/html solicitações HTTP para o endpoint da página de registro especificada.
**nota**  
A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador `(?-i)`, que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra `/`.

      Por exemplo, para o URL `https://example.com/web/registration`, é possível fornecer a especificação de caminho da string `/web/registration`. Os caminhos da página de registro que começam com o caminho fornecido por você são considerados uma correspondência. Por exemplo, `/web/registration` corresponde aos caminhos de registro `/web/registration`, `/web/registration/`, `/web/registrationPage` e `/web/registration/thisPage`, mas não corresponde ao caminho `/home/web/registration` ou `/website/registration`. 
**nota**  
Certifique-se de que seus usuários finais carreguem a página de registro antes de enviarem uma solicitação de criação de conta. Isso ajuda a garantir que as solicitações de criação de conta enviadas pelo cliente incluam tokens válidos. 

   1. Para **Caminho de criação da conta**, forneça o URI em seu site que aceita o preenchimento de novos detalhes de usuário. Este URI deve aceitar solicitações `POST`.
**nota**  
A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador `(?-i)`, que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra `/`.

      Por exemplo, para o URL `https://example.com/web/newaccount`, é possível fornecer a especificação de caminho da string `/web/newaccount`. Os caminhos de criação da conta que começam com o caminho fornecido são considerados correspondentes. Por exemplo, `/web/newaccount` corresponde aos caminhos de criação de conta `/web/newaccount`, `/web/newaccount/`, `/web/newaccountPage` e `/web/newaccount/thisPage`, mas não corresponde ao caminho `/home/web/newaccount` ou `/website/newaccount`. 

   1. Em **Inspeção de solicitações**, especifique como seu aplicativo aceita tentativas de criação de conta fornecendo o tipo de carga da solicitação e os nomes dos campos no corpo da solicitação em que o nome de usuário, a senha e outros detalhes de criação de conta são fornecidos. 
**nota**  
Para os campos de endereço principal e número de telefone, forneça os campos na ordem em que aparecem na carga da solicitação.

      Sua especificação dos nomes dos campos depende do tipo de carga.
      + **Tipo de carga JSON**: especifique os nomes dos campos na sintaxe JSON do ponteiro. Para obter informações sobre a sintaxe do JSON Pointer, consulte a documentação do Internet Engineering Task Force (IETF) [JavaScriptObject Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer. 

        Por exemplo, para o exemplo de carga JSON a seguir, a especificação do campo de nome de usuário é `/signupform/username` e as especificações do campo de endereço principal são `/signupform/addrp1`, `/signupform/addrp2` e `/signupform/addrp3`.

        ```
        {
            "signupform": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD",
                "addrp1": "PRIMARY_ADDRESS_LINE_1",
                "addrp2": "PRIMARY_ADDRESS_LINE_2",
                "addrp3": "PRIMARY_ADDRESS_LINE_3",
                "phonepcode": "PRIMARY_PHONE_CODE",
                "phonepnumber": "PRIMARY_PHONE_NUMBER"
            }
        }
        ```
      + **Tipo de carga FORM\$1ENCODED**: use os nomes dos formulários em HTML.

        Por exemplo, para um formulário HTML com elementos de entrada de usuário e senha chamados `username1` e `password1`, a especificação do campo do nome de usuário é `username1` e a especificação do campo da senha é `password1`.

   1. Se você estiver protegendo CloudFront as distribuições da Amazon, em **Inspeção de respostas**, especifique como seu aplicativo indica sucesso ou falha em suas respostas às tentativas de criação de conta. 
**nota**  
A inspeção de resposta do ACFP está disponível somente em pacotes de proteção (web ACLs) que protegem as distribuições. CloudFront 

      Especifique um único componente na resposta de criação da conta que você deseja que o ACFP inspecione. Para os tipos de componentes **Body** e **JSON**, é AWS WAF possível inspecionar os primeiros 65.536 bytes (64 KB) do componente. 

      Forneça seus critérios de inspeção para o tipo de componente, conforme indicado pela interface. Você deve fornecer critérios de sucesso e falha para inspecionar no componente. 

      Por exemplo, digamos que seu aplicativo indique o status de uma tentativa de criação de conta no código de status da resposta e use `200 OK` para sucesso e `403 Forbidden` ou `401 Unauthorized` para falha. Você definiria o **Tipo de componente** da inspeção de respostas como **Código de status** e, na caixa de texto **Sucesso**, inseriria `200` e, na caixa de texto **Falha**, inseriria `401` na primeira linha e `403` na segunda.

      O grupo de regras do ACFP conta somente as respostas que correspondem aos seus critérios de inspeção de sucesso ou falha. As regras do grupo de regras atuam nos clientes quando eles têm uma taxa de sucesso muito alta entre as respostas contadas, a fim de mitigar as tentativas de criação de contas em massa. Para um comportamento preciso de acordo com as regras do grupo de regras, forneça informações completas sobre tentativas bem-sucedidas e malsucedidas de criação de conta. 

      Para ver as regras que inspecionam as respostas de criação de contas, procure `VolumetricIPSuccessfulResponse` e `VolumetricSessionSuccessfulResponse` na lista de regras em [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md). 

1. Forneça qualquer configuração adicional desejada para o grupo de regras. 

   Você pode limitar ainda mais o escopo das solicitações que o grupo de regras inspeciona adicionando uma instrução de redução de escopo à instrução do grupo de regras gerenciadas. Por exemplo, você pode inspecionar somente solicitações com um argumento de consulta ou cookie específico. O grupo de regras inspecionará somente as solicitações que corresponderem aos critérios em sua instrução de redução de escopo e que foram enviadas para os caminhos de registro e de criação de conta que você especificou na configuração do grupo de regras. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

1. Salve suas alterações no pacote de proteção (ACL da Web). 

Antes de implantar sua implementação de ACFP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação. 

# Testando e implantando o ACFP
<a name="waf-acfp-deploying"></a>

Esta seção fornece orientação geral para configurar e testar uma implementação de prevenção de AWS WAF fraudes na criação de contas de controle de fraudes (ACFP) para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da web que você receber. 

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de Regras AWS Gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Risco de tráfego de produção**  
Antes de implantar sua implementação de ACFP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

AWS WAF fornece credenciais de teste que você pode usar para verificar sua configuração de ACFP. No procedimento a seguir, você configurará um pacote de proteção (ACL da Web) de teste para usar o grupo de regras gerenciadas do ACFP, configurará uma regra para capturar o rótulo adicionado pelo grupo de regras e, em seguida, executará uma tentativa de criação de conta usando essas credenciais de teste. Você verificará se seu pacote de proteção (web ACL) gerenciou adequadamente a tentativa verificando as CloudWatch métricas da Amazon para a tentativa de criação da conta. 

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Para configurar e testar uma implementação de prevenção de AWS WAF fraudes (ACFP) de criação de conta de controle de fraudes**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Adicione o AWS WAF grupo de regras gerenciadas de prevenção de fraudes (ACFP) de criação de contas do Fraud Control no modo de contagem**
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Adicione o grupo de regras de regras AWS gerenciadas `AWSManagedRulesACFPRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).
   + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: 
     + No painel **Configuração de grupo de regras**, forneça os detalhes das páginas de registro e criação da conta do seu aplicativo. O grupo de regras do ACFP usa essas informações para monitorar as atividades de login. Para saber mais, consulte [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md).
     + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para saber mais, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas do ACFP para determinar se deseja adicionar exceções, como exceções para casos de uso internos. 
   + Posicione o grupo de regras para que ele seja avaliado de acordo com as regras existentes no pacote de proteção (ACL da Web), com uma configuração de prioridade que seja numericamente mais alta do que qualquer regra ou grupo de regras que você já esteja usando. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

     Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando isso. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do ACFP. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste.

1. 

**Implemente a integração de aplicativos SDKs**

   Integre o AWS WAF JavaScript SDK aos caminhos de registro e criação de conta do seu navegador. AWS WAF também fornece dispositivos móveis SDKs para integrar dispositivos iOS e Android. Para obter mais informações sobre a integração SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter mais informações sobre essa recomendação, consulte [Usando a integração de aplicativos SDKs com o ACFP](waf-acfp-with-tokens.md).
**nota**  
Se você não conseguir usar a integração de aplicativos SDKs, é possível testar o grupo de regras do ACFP editando-o em seu pacote de proteção (Web ACL) e removendo a substituição que você colocou na regra. `AllRequests` Isso ativa a configuração da ação de regra Challenge, para garantir que as solicitações incluam um token de desafio válido.   
*Faça isso primeiro em um ambiente de teste e depois com muito cuidado em seu ambiente de produção.* Essa abordagem tem o potencial de bloquear usuários. Por exemplo, se o caminho da página de registro não aceitar `GET` text/html solicitações, essa configuração de regra poderá bloquear efetivamente todas as solicitações na página de registro. 

1. 

**Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)**

   Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do ACFP com seu tráfego. 
   + Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso de teste, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Monitore o tráfego e as correspondências de regras do ACFP**

   Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas do ACFP estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver o ACFP e as métricas do rótulo nas métricas da Amazon CloudWatch . Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu. 

1. 

**Teste os recursos de verificação de credenciais do grupo de regras**

   Execute uma tentativa de criação de conta com credenciais comprometidas de teste e verifique se o grupo de regras corresponde a elas conforme o esperado. 

   1. Acesse a página de registro da conta do seu recurso protegido e tente adicionar uma nova conta. Use o seguinte par AWS WAF de credenciais de teste e insira qualquer teste 
      + Usuário: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Senha: `WAF_TEST_CREDENTIAL_PASSWORD`

      Essas credenciais de teste são categorizadas como credenciais comprometidas, e o grupo de regras gerenciadas do ACFP adicionará o rótulo `awswaf:managed:aws:acfp:signal:credential_compromised` à solicitação de criação da conta, que você pode ver nos logs. 

   1. Nos seus logs do pacote de proteção (ACL da Web), procure o rótulo `awswaf:managed:aws:acfp:signal:credential_compromised` no campo `labels` nas entradas de log da solicitação de criação da sua conta de teste. Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 

   Depois de verificar se o grupo de regras captura as credenciais comprometidas conforme o esperado, você pode tomar medidas para configurar sua implementação conforme necessário para seu recurso protegido.

1. 

**Para CloudFront distribuições, teste o gerenciamento de tentativas de criação de contas em massa pelo grupo de regras**

   Execute esse teste para cada critério de resposta bem-sucedida que você configurou para o grupo de regras do ACFP. Espere pelo menos 30 minutos entre os testes.

   1. Para cada um dos seus critérios de sucesso, identifique uma tentativa de criação de conta que será bem-sucedida com esses critérios de sucesso na resposta. Em seguida, a partir de uma única sessão de cliente, realize pelo menos cinco tentativas bem-sucedidas de criação de conta em menos de 30 minutos. Normalmente, um usuário criaria apenas uma única conta em seu site. 

      Após a primeira criação bem-sucedida da conta, a regra `VolumetricSessionSuccessfulResponse` deve começar a se comparar com o resto das respostas de criação da conta, rotulando-as e contando-as, com base na substituição da ação de regra. A regra pode perder a primeira ou duas primeiras devido à latência. 

   1. Nos seus logs de pacote de proteção (ACL da Web), procure o rótulo `awswaf:managed:aws:acfp:aggregate:volumetric:session:successful_creation_response:high` no campo `labels` nas entradas de log das solicitações da Web de criação da sua conta de teste. Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 

   Esses testes verificam se seus critérios de sucesso correspondem às suas respostas, verificando se as contagens bem-sucedidas agregadas pela regra ultrapassam o limite da regra. Depois de atingir o limite, se você continuar enviando solicitações de criação de conta da mesma sessão, a regra continuará a ser compatível até que a taxa de sucesso caia abaixo do limite. Embora o limite seja excedido, a regra corresponde às tentativas bem-sucedidas ou malsucedidas de criação de conta a partir do endereço da sessão. 

1. 

**Personalize o tratamento de solicitações da web do ACFP**

   Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do ACFP lidariam com elas. 

   Por exemplo, você pode usar rótulos do ACFP para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do ACFP para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras do ACFP relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para ver um exemplo, consulte [Exemplo de ACFP: resposta personalizada para credenciais comprometidas](waf-acfp-control-example-compromised-credentials.md). 

1. 

**Remova suas regras de teste e ative as configurações do grupo de regras gerenciadas do ACFP**

   Dependendo da sua situação, você pode ter decidido deixar algumas regras do ACFP no modo de contagem. Para as regras que você deseja executar como configuradas no grupo de regras, desabilite o modo de contagem na configuração do grupo de regras do pacote de proteção (ACL da Web). Ao terminar o teste, você também pode remover as regras de correspondência do rótulo de teste.

1. 

**Monitore e ajuste**

   Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade do ACFP que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras. 

Depois de terminar de testar a implementação do grupo de regras do ACFP, se você ainda não tiver integrado o AWS WAF JavaScript SDK às páginas de registro e criação de conta do seu navegador, é altamente recomendável que você faça isso. AWS WAF também fornece dispositivos móveis SDKs para integrar dispositivos iOS e Android. Para obter mais informações sobre a integração SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter mais informações sobre essa recomendação, consulte [Usando a integração de aplicativos SDKs com o ACFP](waf-acfp-with-tokens.md).

# AWS WAF Exemplos de prevenção de fraudes (ACFP) na criação de contas de controle de fraudes
<a name="waf-acfp-control-examples"></a>

Esta seção mostra exemplos de configurações que atendem aos casos de uso comuns das implementações de prevenção contra fraude na criação de contas (ACFP) do AWS WAF Fraud Control. 

Cada exemplo fornece uma descrição do caso de uso e, em seguida, mostra a solução nas listas JSON para as regras personalizadas configuradas. 

**nota**  
Você pode recuperar listagens JSON como as mostradas nesses exemplos por meio do download do JSON do pacote de proteção do console (web ACL) ou do editor JSON de regras, ou por meio da `getWebACL` operação na interface da linha de comando APIs . 

**Topics**
+ [

# Exemplo de ACFP: configuração simples
](waf-acfp-control-example-basic.md)
+ [

# Exemplo de ACFP: resposta personalizada para credenciais comprometidas
](waf-acfp-control-example-compromised-credentials.md)
+ [

# Exemplo de ACFP: configuração de inspeção de resposta
](waf-acfp-control-example-response-inspection.md)

# Exemplo de ACFP: configuração simples
<a name="waf-acfp-control-example-basic"></a>

A lista JSON a seguir mostra um exemplo de pacote de proteção (Web ACL) com um grupo de regras gerenciadas para prevenção de AWS WAF fraudes na criação de contas (ACFP) do Fraud Control. Observe as configurações adicionais de `CreationPath` e `RegistrationPagePath`, juntamente com o tipo de carga e as informações necessárias para localizar novas informações da conta na carga, a fim de verificá-las. O grupo de regras usa essas informações para monitorar e gerenciar suas solicitações de criação de conta. Esse JSON inclui as configurações geradas automaticamente do pacote de proteção (ACL da Web), como o namespace do rótulo e a URL da integração da aplicação do pacote de proteção (ACL da Web).

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
}
```

# Exemplo de ACFP: resposta personalizada para credenciais comprometidas
<a name="waf-acfp-control-example-compromised-credentials"></a>

Por padrão, a verificação de credenciais realizada pelo `AWSManagedRulesACFPRuleSet` do grupo de regras trata as credenciais comprometidas rotulando e bloqueando a solicitação. Para obter detalhes sobre o grupo de regras e o comportamento das regras, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).

Para informar ao usuário que as credenciais da conta que ele forneceu foram comprometidas, você pode fazer o seguinte: 
+ **Substituir a regra `SignalCredentialCompromised` por Count**: isso faz com que a regra conte e rotule somente as solicitações correspondentes.
+ **Adicione uma regra de correspondência de rótulo com tratamento personalizado**: configure essa regra para corresponder ao rótulo do ACFP e para realizar seu tratamento personalizado. 

As listagens de pacote de proteção (ACL da Web) a seguir mostram o grupo de regras gerenciadas do ACFP do exemplo anterior, com a ação de regra `SignalCredentialCompromised` substituída por contar. Com essa configuração, quando esse grupo de regras avalia qualquer solicitação da web que usa credenciais comprometidas, ele rotula a solicitação, mas não a bloqueia. 

Além disso, o pacote de proteção (ACL da Web) agora tem uma resposta personalizada denominada `aws-waf-credential-compromised` e uma nova regra denominada `AccountSignupCompromisedCredentialsHandling`. A prioridade da regra é uma configuração numérica mais alta que a do grupo de regras; assim, ela é executada após o grupo de regras na avaliação do pacote de proteção (ACL da Web). A nova regra corresponde a qualquer solicitação com o rótulo de credenciais comprometidas do grupo de regras. Quando a regra encontra uma correspondência, ela aplica a ação Block à solicitação com o corpo de resposta personalizado. O corpo de resposta personalizado fornece informações ao usuário final de que suas credenciais foram comprometidas e propõe uma ação a ser tomada. 

```
{
  "Name": "compromisedCreds",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/compromisedCreds/...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "EnableRegexInPath": false
              }
            }
          ],
          "RuleActionOverrides": [
            {
              "Name": "SignalCredentialCompromised",
              "ActionToUse": {
                "Count": {}
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    },
    {
      "Name": "AccountSignupCompromisedCredentialsHandling",
      "Priority": 1,
      "Statement": {
        "LabelMatchStatement": {
          "Scope": "LABEL",
          "Key": "awswaf:managed:aws:acfp:signal:credential_compromised"
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
            "ResponseCode": 406,
            "CustomResponseBodyKey": "aws-waf-credential-compromised",
            "ResponseHeaders": [
              {
                "Name": "aws-waf-credential-compromised",
                "Value": "true"
              }
            ]
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AccountSignupCompromisedCredentialsHandling"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "compromisedCreds"
  },
  "Capacity": 51,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:compromisedCreds:",
  "CustomResponseBodies": {
    "aws-waf-credential-compromised": {
      "ContentType": "APPLICATION_JSON",
      "Content": "{\n  \"credentials-compromised\": \"The credentials you provided have been found in a compromised credentials database.\\n\\nTry again with a different username, password pair.\"\n}"
    }
  }
}
```

# Exemplo de ACFP: configuração de inspeção de resposta
<a name="waf-acfp-control-example-response-inspection"></a>

A lista JSON a seguir mostra um exemplo de pacote de proteção (web ACL) com um grupo de regras gerenciado para prevenção de AWS WAF fraudes na criação de contas (ACFP) do Fraud Control configurado para inspecionar as respostas de origem. Observe a configuração da inspeção de resposta, que especifica os códigos de sucesso e status da resposta. Você também pode definir as configurações de sucesso e resposta com base nas correspondências de cabeçalho, corpo JSON e corpo. Esse JSON inclui as configurações geradas automaticamente do pacote de proteção (ACL da Web), como o namespace do rótulo e a URL da integração da aplicação do pacote de proteção (ACL da Web).

**nota**  
A inspeção de resposta ATP está disponível somente em pacotes de proteção (web ACLs) que protegem CloudFront as distribuições.

```
{
  "Name": "simpleACFP",
  "Id": "... ",
  "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/simpleACFP/... ",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "",
  "Rules": [
    {
      "Name": "AWS-AWSManagedRulesACFPRuleSet",
      "Priority": 0,
      "Statement": {
        "ManagedRuleGroupStatement": {
          "VendorName": "AWS",
          "Name": "AWSManagedRulesACFPRuleSet",
          "ManagedRuleGroupConfigs": [
            {
              "AWSManagedRulesACFPRuleSet": {
                "CreationPath": "/web/signup/submit-registration",
                "RegistrationPagePath": "/web/signup/registration",
                "RequestInspection": {
                  "PayloadType": "JSON",
                  "UsernameField": {
                    "Identifier": "/form/username"
                  },
                  "PasswordField": {
                    "Identifier": "/form/password"
                  },
                  "EmailField": {
                    "Identifier": "/form/email"
                  },
                  "PhoneNumberFields": [
                    {
                      "Identifier": "/form/country-code"
                    },
                    {
                      "Identifier": "/form/region-code"
                    },
                    {
                      "Identifier": "/form/phonenumber"
                    }
                  ],
                  "AddressFields": [
                    {
                      "Identifier": "/form/name"
                    },
                    {
                      "Identifier": "/form/street-address"
                    },
                    {
                      "Identifier": "/form/city"
                    },
                    {
                      "Identifier": "/form/state"
                    },
                    {
                      "Identifier": "/form/zipcode"
                    }
                  ]
                },
                "ResponseInspection": {
                  "StatusCode": {
                    "SuccessCodes": [
                      200
                    ],
                    "FailureCodes": [
                      401
                    ]
                  }
                },
                "EnableRegexInPath": false
              }
            }
          ]
        }
      },
      "OverrideAction": {
        "None": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSManagedRulesACFPRuleSet"
      }
    }
  ],
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "simpleACFP"
  },
  "Capacity": 50,
  "ManagedByFirewallManager": false,
  "RetrofittedByFirewallManager": false,
  "LabelNamespace": "awswaf:111122223333:webacl:simpleACFP:"
  }
```

# AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)
<a name="waf-atp"></a>

Esta seção explica o que a prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control faz.

A apropriação de conta é uma atividade ilegal online na qual um invasor obtém acesso não autorizado à conta de uma pessoa. O invasor pode fazer isso de várias maneiras, como usar credenciais roubadas ou adivinhar a senha da vítima por meio de uma série de tentativas. Quando o invasor obtém acesso, ele pode roubar dinheiro, informações ou serviços da vítima. O invasor pode se passar por vítima para obter acesso a outras contas que a vítima possui ou para obter acesso às contas de outras pessoas ou organizações. Além disso, eles podem tentar alterar a senha do usuário para bloquear a vítima de suas próprias contas. 

Você pode monitorar e controlar as tentativas de aquisição de contas implementando o recurso ATP. AWS WAF oferece esse recurso no grupo de regras de regras AWS gerenciadas `AWSManagedRulesATPRuleSet` e na integração de aplicativos complementares SDKs. 

O grupo de regras gerenciadas do ATP rotula e gerencia solicitações que podem fazer parte de tentativas maliciosas de apropriação de contas. O grupo de regras faz isso inspecionando as tentativas de login que os clientes enviam para o endpoint de login do seu aplicativo. 
+ **Inspeção de solicitações**: o ATP oferece visibilidade e controle sobre tentativas de login anômalas e tentativas de login que usam credenciais roubadas, para evitar apropriações de contas que possam levar a atividades fraudulentas. O ATP verifica as combinações de e-mail e senha em seu banco de dados de credenciais roubadas, que é atualizado regularmente à medida que novas credenciais vazadas são encontradas na dark web. O ATP agrega dados por endereço IP e sessão do cliente, para detectar e bloquear clientes que enviam muitas solicitações de natureza suspeita. 
+ **Inspeção de resposta** — Para CloudFront distribuições, além de inspecionar as solicitações de login recebidas, o grupo de regras ATP inspeciona as respostas do seu aplicativo às tentativas de login, para monitorar as taxas de sucesso e falha. Usando essas informações, o ATP pode bloquear temporariamente sessões de clientes ou endereços IP que tenham muitas falhas de login. O AWS WAF executa a inspeção de resposta de forma assíncrona, para que isso não aumente a latência no tráfego da web. 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

**nota**  
O recurso do ATP não está disponível para grupos de usuários do Amazon Cognito.

**Topics**
+ [

# AWS WAF Componentes ATP
](waf-atp-components.md)
+ [

# Usando a integração de aplicativos SDKs com o ATP
](waf-atp-with-tokens.md)
+ [

# Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)
](waf-atp-rg-using.md)
+ [

# Testando e implantando o ATP
](waf-atp-deploying.md)
+ [

# AWS WAF Exemplos de prevenção de aquisição de contas (ATP) de controle de fraudes
](waf-atp-control-examples.md)

# AWS WAF Componentes ATP
<a name="waf-atp-components"></a>

Os principais componentes da prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control são os seguintes: 
+ **`AWSManagedRulesATPRuleSet`**— As regras desse grupo de regras de regras AWS gerenciadas detectam, rotulam e gerenciam vários tipos de atividades de aquisição de contas. O grupo de regras inspeciona as solicitações `POST` HTTP da web que os clientes enviam para o endpoint de login especificado. Para CloudFront distribuições protegidas, o grupo de regras também inspeciona as respostas que a distribuição envia de volta a essas solicitações. Para obter uma lista das regras do grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md). Você inclui esse grupo de regras no pacote de proteção (ACL da Web) usando uma instrução de referência de grupo de regras gerenciadas. Para obter informações sobre como usar dxxd grupo de regras, consulte [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md). 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).
+ **Detalhes sobre a página de login da sua aplicação**: você deve fornecer informações sobre a página de login ao adicionar o grupo de regras `AWSManagedRulesATPRuleSet` ao pacote de proteção (ACL da Web). Isso permite que o grupo de regras restrinja o escopo das solicitações inspecionadas e valide adequadamente o uso de credenciais nas solicitações da web. O grupo de regras do ATP funciona com nomes de usuário em formato de e-mail. Para obter mais informações, consulte [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md). 
+ **Para CloudFront distribuições protegidas, detalhes sobre como seu aplicativo responde às tentativas de login** — você fornece detalhes sobre as respostas do seu aplicativo às tentativas de login, e o grupo de regras rastreia e gerencia clientes que estão enviando muitas tentativas de login malsucedidas. Para obter informações sobre como configurar essa opção, consulte [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md). 
+ **JavaScript e integração de aplicativos móveis SDKs** — implemente o AWS WAF JavaScript e o mobile SDKs com sua implementação de ATP para habilitar o conjunto completo de recursos que o grupo de regras oferece. Muitas das regras de ATP usam as informações fornecidas pelo SDKs para verificação de clientes em nível de sessão e agregação de comportamento, necessárias para separar o tráfego legítimo do cliente do tráfego de bots. Para obter mais informações sobre o SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).

Você pode combinar sua implementação de ATP com o seguinte para ajudar a monitorar, ajustar e personalizar suas proteções. 
+ **Registro e métricas** — Você pode monitorar seu tráfego e entender como o grupo de regras gerenciadas do ACFP o afeta, configurando e habilitando registros, a coleta de dados do Amazon Security Lake e as CloudWatch métricas da Amazon para seu pacote de proteção (web ACL). Os rótulos que `AWSManagedRulesATPRuleSet` adiciona às suas solicitações da Web são incluídos nos dados. Para obter informações sobre as opções, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md), [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html).

  Dependendo das suas necessidades e do tráfego que você vê, talvez você queira personalizar sua implementação de `AWSManagedRulesATPRuleSet`. Por exemplo, talvez você queira excluir algum tráfego da avaliação do ATP ou alterar a forma como ele lida com algumas das tentativas de aquisição de conta que ele identifica, usando AWS WAF recursos como instruções de escopo ou regras de correspondência de rótulos. 
+ **Rótulos e regras de correspondência de rótulos**: para qualquer uma das regras em `AWSManagedRulesATPRuleSet`, você pode alternar o comportamento de bloqueio para contagem e, em seguida, corresponder com os rótulos adicionados pelas regras. Use essa abordagem para personalizar a forma como você lida com solicitações da web identificadas pelo grupo de regras gerenciadas do ATP. Para saber mais sobre rotulagem e uso de instruções de correspondência de rótulos, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md). 
+ **Solicitações e respostas personalizadas**: você pode adicionar cabeçalhos personalizados às solicitações permitidas e enviar respostas personalizadas para solicitações bloqueadas. Para fazer isso, você combina sua correspondência de rótulos com os recursos personalizados de solicitação e resposta do AWS WAF . Para saber mais sobre como personalizar solicitações e respostas, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

# Usando a integração de aplicativos SDKs com o ATP
<a name="waf-atp-with-tokens"></a>

Esta seção explica como usar a integração de aplicativos SDKs com o ATP.

O grupo de regras gerenciadas pelo ATP exige os tokens de desafio que a integração do aplicativo SDKs gera. Os tokens permitem o conjunto completo de proteções que o grupo de regras oferece. 

É altamente recomendável implementar a integração SDKs de aplicativos para o uso mais eficaz do grupo de regras ATP. O script de desafio deve ser executado antes do grupo de regras do ATP para que o grupo de regras se beneficie dos tokens que o script adquire. Isso acontece automaticamente com a integração do aplicativo SDKs. Se você não conseguir usar o SDKs, você pode configurar alternativamente seu pacote de proteção (web ACL) para que ele execute a ação de CAPTCHA regra Challenge ou em todas as solicitações que serão inspecionadas pelo grupo de regras ATP. O uso da ação de regra Challenge ou CAPTCHA pode incorrer em taxas adicionais. Para obter detalhes sobre os preços, consulte [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/). 

**Capacidades do grupo de regras do ATP que não exigem um token**  
Quando as solicitações da web não têm um token, o grupo de regras gerenciadas do ATP é capaz de bloquear os seguintes tipos de tráfego:
+ Endereços IP únicos que fazem muitas solicitações de login. 
+ Endereços IP únicos que fazem muitas solicitações de login malsucedidas em um curto espaço de tempo. 
+ Tentativas de login com traversal de senha, usando o mesmo nome de usuário, mas alterando as senhas. 

**Capacidades do grupo de regras do ATP que exigem um token**  
As informações fornecidas no token de desafio expandem os recursos do grupo de regras e da segurança geral do aplicativo cliente. 

O token fornece informações do cliente com cada solicitação da web, o que permite que o grupo de regras do ATP separe sessões legítimas de clientes de sessões de clientes mal-comportados, mesmo quando ambas se originam de um único endereço IP. O grupo de regras usa as informações nos tokens para agregar o comportamento da solicitação de sessão do cliente para a detecção e mitigação ajustadas. 

Quando o token está disponível em solicitações da web, o grupo de regras do ATP pode detectar e bloquear as seguintes categorias adicionais de clientes no nível da sessão: 
+ Sessões com clientes que falham no desafio silencioso que eles SDKs gerenciam. 
+ Sessões de clientes que abrangem nomes de usuário ou senhas. Isso também é conhecido como preenchimento de credenciais.
+ Sessões de clientes que usam repetidamente credenciais roubadas para fazer login.
+ Sessões de clientes que passam muito tempo tentando fazer login. 
+ Sessões de clientes que fazem muitas solicitações de login. O grupo de regras ATP fornece melhor isolamento do cliente do que a regra AWS WAF baseada em taxa, que pode bloquear clientes por endereço IP. O grupo de regras do ATP também usa um limite inferior. 
+ Sessões de clientes que fazem muitas solicitações de login malsucedidas em um curto espaço de tempo. Essa funcionalidade está disponível para CloudFront distribuições protegidas da Amazon.

Para saber mais sobre as capacidades do grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).

Para obter informações sobre o SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter informações sobre AWS WAF tokens, consulte[Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Para mais informações sobre as ações de regra, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

# Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)
<a name="waf-atp-rg-using"></a>

Esta seção explica como adicionar e configurar o grupo de regras `AWSManagedRulesATPRuleSet`.

Para configurar o grupo de regras gerenciadas do ATP para reconhecer atividades de apropriação de conta em seu tráfego da web, você fornece informações sobre como os clientes enviam solicitações de login para seu aplicativo. Para CloudFront distribuições protegidas da Amazon, você também fornece informações sobre como seu aplicativo responde às solicitações de login. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas. 

Para obter a descrição do grupo de regras e a lista de regras, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).

**nota**  
O banco de dados de credenciais roubadas do ATP contém apenas nomes de usuário em formato de e-mail.

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console](waf-using-managed-rule-group.md).

**Siga as práticas recomendadas**  
Use o grupo de regras do ATP de acordo com as práticas recomendadas em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md). 

**Para usar o grupo de regras `AWSManagedRulesATPRuleSet` no pacote de proteção (ACL da Web)**

1. Adicione o grupo de regras AWS gerenciadas `AWSManagedRulesATPRuleSet` ao seu pacote de proteção (Web ACL) e **edite** as configurações do grupo de regras antes de salvar. 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

1. No painel **Configuração de grupo de regras**, forneça as informações que o grupo de regras do ATP usa para inspecionar as solicitações de login. 

   1. Em **Usar expressão regular em caminhos**, ative essa opção se quiser realizar AWS WAF a correspondência de expressões regulares com as especificações do caminho da sua página de login. 

      AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

   1. Para **Caminho de login**, forneça o caminho do endpoint de login do seu aplicativo. O grupo de regras inspeciona somente solicitações `POST` de HTTP para seu endpoint de login especificado.
**nota**  
A correspondência para endpoints não diferencia maiúsculas de minúsculas. As especificações para Regex não devem conter o sinalizador `(?-i)`, que desativa a correspondência que não diferencia maiúsculas de minúsculas. As especificações para string devem começar com uma barra `/`.

      Por exemplo, para o URL `https://example.com/web/login`, é possível fornecer a especificação de caminho da string `/web/login`. Os caminhos de login que começam com o caminho fornecido por você são considerados uma correspondência. Por exemplo, `/web/login` corresponde aos caminhos de login `/web/login`, `/web/login/`, `/web/loginPage` e `/web/login/thisPage`, mas não corresponde ao caminho de login `/home/web/login` ou `/website/login`. 

   1. Para **Inspeção de solicitações**, especifique como seu aplicativo aceita tentativas de login fornecendo o tipo de carga da solicitação e os nomes dos campos no corpo da solicitação em que o nome de usuário e a senha são fornecidos. Sua especificação dos nomes dos campos depende do tipo de carga.
      + **Tipo de carga JSON**: especifique os nomes dos campos na sintaxe JSON do ponteiro. Para obter informações sobre a sintaxe do JSON Pointer, consulte a documentação do Internet Engineering Task Force (IETF) [JavaScriptObject Notation](https://tools.ietf.org/html/rfc6901) (JSON) Pointer. 

        Por exemplo, para o exemplo de carga JSON a seguir, a especificação do campo de nome de usuário é `/login/username` e a especificação do campo de senha é `/login/password`.

        ```
        {
            "login": {
                "username": "THE_USERNAME",
                "password": "THE_PASSWORD"
            }
        }
        ```
      + **Tipo de carga FORM\$1ENCODED**: use os nomes dos formulários em HTML.

        Por exemplo, para um formulário HTML com elementos de entrada chamados `username1` e `password1`, a especificação do campo do nome de usuário é `username1` e a especificação do campo da senha é `password1`.

   1. Se você estiver protegendo CloudFront as distribuições da Amazon, em **Inspeção de resposta**, especifique como seu aplicativo indica sucesso ou falha em suas respostas às tentativas de login. 
**nota**  
A inspeção de resposta ATP está disponível somente em pacotes de proteção (web ACLs) que protegem CloudFront as distribuições.

      Especifique um único componente na resposta de login que você deseja que o ATP inspecione. Para os tipos de componentes **Corpo** e **JSON**, o AWS WAF pode inspecionar os primeiros 65.536 bytes (64 KB) do componente. 

      Forneça seus critérios de inspeção para o tipo de componente, conforme indicado pela interface. Você deve fornecer critérios de sucesso e falha para inspecionar no componente. 

      Por exemplo, digamos que seu aplicativo indique o status de uma tentativa de login no código de status da resposta e use `200 OK` para sucesso e `403 Forbidden` ou `401 Unauthorized` para falha. Você definiria o **Tipo de componente** da inspeção de respostas como **Código de status** e, na caixa de texto **Sucesso**, inseriria `200` e, na caixa de texto **Falha**, inseriria `401` na primeira linha e `403` na segunda.

      O grupo de regras do ATP conta somente as respostas que correspondem aos seus critérios de inspeção de sucesso ou falha. As regras do grupo de regras agem sobre os clientes quando eles têm uma taxa de falha muito alta entre as respostas que são contadas. Para um comportamento preciso de acordo com as regras do grupo de regras, forneça informações completas sobre tentativas bem-sucedidas e malsucedidas de login. 

      Para ver as regras que inspecionam as respostas de login, procure `VolumetricIpFailedLoginResponseHigh` e `VolumetricSessionFailedLoginResponseHigh` na lista de regras em [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md). 

1. Forneça qualquer configuração adicional desejada para o grupo de regras. 

   Você pode limitar ainda mais o escopo das solicitações que o grupo de regras inspeciona adicionando uma instrução de redução de escopo à instrução do grupo de regras gerenciadas. Por exemplo, você pode inspecionar somente solicitações com um argumento de consulta ou cookie específico. O grupo de regras inspecionará somente as solicitações `POST` de HTTP para seu endpoint de login especificado que correspondam aos critérios em sua instrução de escopo. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

1. Salve suas alterações no pacote de proteção (ACL da Web). 

Antes de implantar sua implementação de ATP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação. 

# Testando e implantando o ATP
<a name="waf-atp-deploying"></a>

Esta seção fornece orientação geral para configurar e testar uma implementação de prevenção de aquisição de contas (ATP) do Controle de AWS WAF Fraudes em seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da web que você receber. 

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de Regras AWS Gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Risco de tráfego de produção**  
Antes de implantar sua implementação de ATP para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

AWS WAF fornece credenciais de teste que você pode usar para verificar sua configuração de ATP. No procedimento a seguir, você configurará uma pacote de proteção (ACL da Web) de teste para usar o grupo de regras gerenciadas do ATP, configurará uma regra para capturar o rótulo adicionado pelo grupo de regras e executará uma tentativa de login usando essas credenciais de teste. Você verificará se sua ACL da web gerenciou adequadamente a tentativa verificando as CloudWatch métricas da Amazon para a tentativa de login. 

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Para configurar e testar uma implementação de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Adicione o grupo de regras gerenciadas de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control no modo de contagem**
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Adicione o grupo de regras de regras AWS gerenciadas `AWSManagedRulesATPRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).
   + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: 
     + No painel **Configuração de grupo de regras**, forneça os detalhes da página de login do seu aplicativo. O grupo de regras do ATP usa essas informações para monitorar as atividades de login. Para saber mais, consulte [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md).
     + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para saber mais, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas do ATP para determinar se deseja adicionar exceções, como exceções para casos de uso internos. 
   + Posicione o grupo de regras para que ele seja avaliado de acordo com as regras existentes no pacote de proteção (ACL da Web), com uma configuração de prioridade que seja numericamente mais alta do que qualquer regra ou grupo de regras que você já esteja usando. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

     Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando isso. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do ATP. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste.

1. 

**Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)**

   Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do ATP com seu tráfego. 
   + Para obter informações sobre como configurar e usar logs, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso de teste, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Monitore o tráfego e as correspondências de regras do ATP**

   Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas do ATP estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver o ATP e as métricas do rótulo nas métricas da Amazon CloudWatch . Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu. 

1. 

**Teste os recursos de verificação de credenciais do grupo de regras**

   Execute uma tentativa de login com credenciais comprometidas de teste e verifique se o grupo de regras corresponde a elas conforme o esperado. 

   1. Faça login na página de login do seu recurso protegido usando o seguinte par de credenciais de AWS WAF teste: 
      + Usuário: `WAF_TEST_CREDENTIAL@wafexample.com`
      + Senha: `WAF_TEST_CREDENTIAL_PASSWORD`

      Essas credenciais de teste são categorizadas como credenciais comprometidas, e o grupo de regras gerenciadas do ATP adicionará o rótulo `awswaf:managed:aws:atp:signal:credential_compromised` à solicitação de login, que você pode ver nos logs. 

   1. Nos logs do pacote de proteção (ACL da Web), procure o rótulo `awswaf:managed:aws:atp:signal:credential_compromised` no campo `labels` nas entradas de log das solicitações da Web de login para teste. Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 

   Depois de verificar se o grupo de regras captura as credenciais comprometidas conforme o esperado, você pode tomar medidas para configurar sua implementação conforme necessário para seu recurso protegido.

1. 

**Para CloudFront distribuições, teste o gerenciamento de falhas de login do grupo de regras**

   

   1. Execute um teste para cada critério de resposta a falhas que você configurou para o grupo de regras do ATP. Espere pelo menos 10 minutos entre os testes.

      Para testar um único critério de falha, identifique uma tentativa de login que falhará com esse critério na resposta. Em seguida, a partir de um único endereço IP de cliente, realize pelo menos 10 tentativas de login malsucedidas em menos de 10 minutos.

      Após as primeiras seis falhas, a regra de login com falha volumétrica deve começar a corresponder às demais tentativas, rotulando-as e contando-as. A regra pode perder a primeira ou duas primeiras devido à latência. 

   1. Nos logs do pacote de proteção (ACL da Web), procure o rótulo `awswaf:managed:aws:atp:aggregate:volumetric:ip:failed_login_response:high` no campo `labels` nas entradas de log das solicitações da Web de login para teste. Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 

   Esses testes verificam se seus critérios de falha correspondem às suas respostas, verificando se as contagens de login com falha ultrapassam os limites da regra `VolumetricIpFailedLoginResponseHigh`. Depois de atingir os limites, se você continuar enviando solicitações de login do mesmo endereço IP, a regra continuará a corresponder até que a taxa de falhas caia abaixo do limite. Embora os limites sejam excedidos, a regra corresponde aos logins bem-sucedidos ou malsucedidos do endereço IP. 

1. 

**Personalize o tratamento de solicitações da web do ATP**

   Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do ATP lidariam com elas. 

   Por exemplo, você pode usar rótulos do ATP para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do ATP para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras do ATP relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para ver um exemplo, consulte [Exemplo de ATP: tratamento personalizado para credenciais ausentes e comprometidas](waf-atp-control-example-user-agent-exception.md). 

1. 

**Remova suas regras de teste e ative as configurações do grupo de regras gerenciadas do ATP**

   Dependendo da sua situação, você pode ter decidido deixar algumas regras do ATP no modo de contagem. Para as regras que você deseja executar como configuradas no grupo de regras, desabilite o modo de contagem na configuração do grupo de regras do pacote de proteção (ACL da Web). Ao terminar o teste, você também pode remover as regras de correspondência do rótulo de teste.

1. 

**Monitore e ajuste**

   Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade do ATP que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras. 

Depois de terminar de testar a implementação do grupo de regras do ATP, se você ainda não tiver feito isso, recomendamos que você integre o AWS WAF JavaScript SDK à página de login do seu navegador para aprimorar os recursos de detecção. AWS WAF também fornece dispositivos móveis SDKs para integrar dispositivos iOS e Android. Para obter mais informações sobre a integração SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter mais informações sobre essa recomendação, consulte [Usando a integração de aplicativos SDKs com o ATP](waf-atp-with-tokens.md).

# AWS WAF Exemplos de prevenção de aquisição de contas (ATP) de controle de fraudes
<a name="waf-atp-control-examples"></a>

Esta seção mostra exemplos de configurações que atendem aos casos de uso comuns das implementações de prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control. 

Cada exemplo fornece uma descrição do caso de uso e, em seguida, mostra a solução nas listas JSON para as regras personalizadas configuradas. 

**nota**  
Você pode recuperar listagens JSON como as mostradas nesses exemplos por meio do download do JSON do pacote de proteção do console (web ACL) ou do editor JSON de regras, ou por meio da `getWebACL` operação na interface da linha de comando APIs . 

**Topics**
+ [

# Exemplo de ATP: configuração simples
](waf-atp-control-example-basic.md)
+ [

# Exemplo de ATP: tratamento personalizado para credenciais ausentes e comprometidas
](waf-atp-control-example-user-agent-exception.md)
+ [

# Exemplo de ATP: configuração de inspeção de resposta
](waf-atp-control-example-response-inspection.md)

# Exemplo de ATP: configuração simples
<a name="waf-atp-control-example-basic"></a>

A lista JSON a seguir mostra um exemplo de pacote de proteção (web ACL) com um grupo de regras gerenciadas para prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control. Observe a configuração adicional da página de login, que fornece ao grupo de regras as informações necessárias para monitorar e gerenciar suas solicitações de login. Esse JSON inclui as configurações geradas automaticamente do pacote de proteção (ACL da Web), como o namespace do rótulo e a URL da integração da aplicação do pacote de proteção (ACL da Web).

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# Exemplo de ATP: tratamento personalizado para credenciais ausentes e comprometidas
<a name="waf-atp-control-example-user-agent-exception"></a>

Por padrão, as verificações de credenciais realizadas pelo `AWSManagedRulesATPRuleSet` do grupo de regras tratam as solicitações da web da seguinte forma: 
+ **Credenciais ausentes**: identifica e bloqueia a solicitação.
+ **Credenciais comprometidas**: rotula a solicitação, mas não a bloqueia nem conta.

Para obter detalhes sobre o grupo de regras e o comportamento das regras, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).

Você pode adicionar um tratamento personalizado para solicitações da web que tenham credenciais ausentes ou comprometidas fazendo o seguinte: 
+ **Substituir a regra `MissingCredential` por Count**: essa substituição da ação de regra faz com que a regra conte e rotule somente as solicitações correspondentes.
+ **Adicione uma regra de correspondência de rótulo com tratamento personalizado**: configure essa regra para corresponder aos dois rótulos do ATP e para realizar seu tratamento personalizado. Por exemplo, você pode redirecionar o cliente para sua página de inscrição.

As regra a seguir mostra o grupo de regras gerenciadas do ATP do exemplo anterior, com a ação de regra `MissingCredential` substituída para contar. Isso faz com que a regra aplique seu rótulo às solicitações correspondentes e, em seguida, conte apenas as solicitações, em vez de bloqueá-las. 

```
"Rules": [
    {
        "Priority": 1,
        "OverrideAction": {
            "None": {}
        },
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "AccountTakeOverValidationRule"
        },
        "Name": "DetectCompromisedUserCredentials",
        "Statement": {
            "ManagedRuleGroupStatement": {
                "ManagedRuleGroupConfigs": [
                  {
                    "AWSManagedRulesATPRuleSet": {
                      "LoginPath": "/web/login",
                      "RequestInspection": {
                        "PayloadType": "JSON",
                        "UsernameField": {
                          "Identifier": "/form/username"
                        },
                        "PasswordField": {
                          "Identifier": "/form/password"
                        }
                      },
                      "EnableRegexInPath": false
                    }
                  }
                ]
                "VendorName": "AWS",
                "Name": "AWSManagedRulesATPRuleSet",
                "RuleActionOverrides": [
                  {
                    "ActionToUse": {
                      "Count": {}
                    },
                    "Name": "MissingCredential"
                  }
                ],
                "ExcludedRules": []
            }
        }
    }
],
```

Com essa configuração, quando esse grupo de regras avalia qualquer solicitação da web com credenciais ausentes ou comprometidas, ele rotula a solicitação, mas não a bloqueia. 

A regra a seguir tem uma configuração de prioridade que é maior numericamente do que o grupo de regras anterior. O AWS WAF avalia as regras em ordem numérica, começando pela mais baixa, então essa regra será avaliada após a avaliação do grupo de regras. A regra está configurada para corresponder a qualquer um dos rótulos de credenciais e para enviar uma resposta personalizada para solicitações correspondentes. 

```
"Name": "redirectToSignup",
      "Priority": 10,
      "Statement": {
        "OrStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:missing_credential"
              }
            },
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:atp:signal:credential_compromised"
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {
          "CustomResponse": {
             your custom response settings 
          }
        }
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "redirectToSignup"
      }
```

# Exemplo de ATP: configuração de inspeção de resposta
<a name="waf-atp-control-example-response-inspection"></a>

A lista JSON a seguir mostra um exemplo de pacote de proteção (web ACL) com um grupo de regras gerenciado de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control que está configurado para inspecionar as respostas de origem. Observe a configuração da inspeção de resposta, que especifica os códigos de sucesso e status da resposta. Você também pode definir as configurações de sucesso e resposta com base nas correspondências de cabeçalho, corpo JSON e corpo. Esse JSON inclui as configurações geradas automaticamente do pacote de proteção (ACL da Web), como o namespace do rótulo e a URL da integração da aplicação do pacote de proteção (ACL da Web).

**nota**  
A inspeção de resposta ATP está disponível somente em pacotes de proteção (web ACLs) que protegem CloudFront as distribuições.

```
{
    "WebACL": {
        "LabelNamespace": "awswaf:111122223333:webacl:ATPModuleACL:",
        "Capacity": 50,
        "Description": "This is a test protection pack (web ACL) for ATP.",
        "Rules": [
            {
                "Priority": 1,
                "OverrideAction": {
                    "None": {}
                },
                "VisibilityConfig": {
                    "SampledRequestsEnabled": true,
                    "CloudWatchMetricsEnabled": true,
                    "MetricName": "AccountTakeOverValidationRule"
                },
                "Name": "DetectCompromisedUserCredentials",
                "Statement": {
                    "ManagedRuleGroupStatement": {
                        "VendorName": "AWS",
                        "Name": "AWSManagedRulesATPRuleSet",
                        "ManagedRuleGroupConfigs": [
                          {
                            "AWSManagedRulesATPRuleSet": {
                              "LoginPath": "/web/login",
                              "RequestInspection": {
                                "PayloadType": "JSON",
                                "UsernameField": {
                                  "Identifier": "/form/username"
                                },
                                "PasswordField": {
                                  "Identifier": "/form/password"
                                }
                              },
                              "ResponseInspection": {
                                "StatusCode": {
                                  "SuccessCodes": [
                                    200
                                  ],
                                  "FailureCodes": [
                                    401
                                  ]
                                }
                              },
                              "EnableRegexInPath": false
                            }
                          }
                        ]
                    }
                }
            }
        ],
        "VisibilityConfig": {
            "SampledRequestsEnabled": true,
            "CloudWatchMetricsEnabled": true,
            "MetricName": "ATPValidationAcl"
        },
        "DefaultAction": {
            "Allow": {}
        },
        "ManagedByFirewallManager": false,
        "RetrofittedByFirewallManager": false,
        "Id": "32q10987-65rs-4tuv-3210-98765wxyz432",
        "ARN": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/ATPModuleACL/32q10987-65rs-4tuv-3210-98765wxyz432",
        "Name": "ATPModuleACL"
    },
    "ApplicationIntegrationURL": "https://9z87abce34ea.us-east-1.sdk.awswaf.com/9z87abce34ea/1234567a1b10/",
    "LockToken": "6d0e6966-95c9-48b6-b51d-8e82e523b847"
}
```

# AWS WAF Controle de bots
<a name="waf-bot-control"></a>

Esta seção explica o que o Controle de Bots faz.

Com o Controle de Bots, você pode facilmente monitorar, bloquear ou limitar o intervalo de bots, como extratores, scanners, crawlers, monitores de status e mecanismos de pesquisa. Se você usar o nível de inspeção direcionado do grupo de regras, também poderá desafiar bots que não se identificam, tornando mais difícil e mais caro que bots mal-intencionados operem em seu site. Você pode proteger seus aplicativos usando o grupo de regras gerenciadas do Bot Control sozinho ou em combinação com outros grupos de regras de regras AWS gerenciadas e suas próprias AWS WAF regras personalizadas. 

O Controle de Bots inclui um painel de console que mostra quanto do seu tráfego atual vem de bots, com base na amostragem de solicitações. Com o grupo de regras gerenciadas do Controle de Bots adicionado ao pacote de proteção (ACL da Web), você pode tomar medidas contra o tráfego de bots e receber informações detalhadas em tempo real sobre o tráfego comum de bots que chega às suas aplicações. 

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

O grupo de regras gerenciadas do Controle de Bots fornece um nível de proteção básico e comum que adiciona rótulos aos bots que se identificam automaticamente, verifica os bots geralmente desejáveis e detecta assinaturas de bots de alta confiança. Isso permite monitorar e controlar categorias comuns de tráfego de bots. 

O grupo de regras do Controle de Bots também fornece um nível de proteção direcionada que adiciona detecção para bots sofisticados que não se identificam. As proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. Além disso, as proteções direcionadas fornecem uma análise opcional automatizada de machine learning das estatísticas de tráfego do site para detectar atividades relacionadas a bots. Quando você ativa o machine learning, o AWS WAF usa estatísticas sobre o tráfego do site, como timestamps, características do navegador e URL anterior visitado, para melhorar o modelo de machine learning do Controle de Bots. 

Quando AWS WAF avalia uma solicitação da web em relação ao grupo de regras gerenciadas do Bot Control, o grupo de regras adiciona rótulos às solicitações que ele detecta como relacionadas ao bot, por exemplo, a categoria do bot e o nome do bot. Você pode comparar esses rótulos em suas próprias AWS WAF regras para personalizar o manuseio. Os rótulos gerados pelo grupo de regras gerenciadas do Bot Control estão incluídos nas CloudWatch métricas da Amazon e nos registros do seu pacote de proteção (web ACL). 

Você também pode usar AWS Firewall Manager AWS WAF políticas para implantar o grupo de regras gerenciadas do Bot Control em seus aplicativos em várias contas que fazem parte da sua organização em AWS Organizations.

Para saber mais sobre grupos de regras gerenciadas pelo Controle de Bots, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). 

## Autenticação de web bot para agentes de IA
<a name="waf-bot-ai-agents"></a>

AWS WAF O Bot Control agora suporta a Autenticação de Web Bot (WBA) como um método de verificação criptográfica para bots e agentes de IA acessarem suas CloudFront distribuições. Esse recurso permite que rastreadores e agentes legítimos de IA provem sua identidade sem exigir mecanismos tradicionais de resposta a desafios.

Requisito de versão: `AWSManagedRulesBotControlRuleSet` Version\$14.0 ou posterior. (A versão estática deve ser selecionada explicitamente.) Para ver a taxonomia detalhada dos rótulos e o comportamento das regras, consulte: 
+ [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md)
+ [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md)
+ [AWS Registro de alterações das regras gerenciadas](aws-managed-rule-groups-changelog.md)

# AWS WAF Componentes do Bot Control
<a name="waf-bot-control-components"></a>

Os principais componentes de uma implementação do Controle de Bots são os seguintes:
+ **`AWSManagedRulesBotControlRuleSet`**: o grupo de regras gerenciadas do Controle de Bots cujas regras detectam e lidam com várias categorias de bots. Esse grupo de regras adiciona rótulos às solicitações da web que ele detecta como tráfego de bots. 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

O grupo de regras gerenciadas do Controle de Bots fornece dois níveis de proteção que você pode escolher: 
  + **Comum**: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar. 
  + **Direcionado**: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano. 
    + **`TGT_`**: as regras que fornecem proteção direcionada têm nomes que começam com `TGT_`. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. 
    + **`TGT_ML_`**: as regras de proteção direcionada que usam machine learning têm nomes que começam com `TGT_ML_`. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras. 

  Para obter detalhes, incluindo informações sobre as regras do grupo de regras, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). 

  Você inclui esse grupo de regras no pacote de proteção (ACL da Web). usando uma instrução de referência do grupo de regras gerenciadas e indicando o nível de inspeção que você deseja usar. Para o nível direcionado, você também indica se deseja ativar o machine learning. Para saber mais sobre como adicionar esse grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar o grupo de regras gerenciadas do AWS WAF Bot Control à sua ACL da web](waf-bot-control-rg-using.md). 
+ **Painel de controle de bots**: o painel de monitoramento de bots para o pacote de proteção (ACL da Web), disponível na guia Controle de bots do pacote de proteção (ACL da Web). Use esse painel para monitorar seu tráfego e entender quanto dele vem de vários tipos de bots. Esse pode ser um ponto de partida para personalizar seu gerenciamento de bots, conforme descrito neste tópico. Você também pode usá-lo para verificar suas alterações e monitorar a atividade de vários bots e categorias de bots. 
+ Painel de **análise de tráfego de IA — Painel** especializado para análise detalhada da atividade de bots e agentes de IA, disponível na guia Análise de tráfego de IA do pacote de proteção (Web ACL). Fornece visibilidade aprimorada dos padrões de tráfego específicos da IA, da intenção do bot e dos comportamentos de acesso além das métricas padrão do Bot Control.
+ **JavaScript e integração de aplicativos móveis SDKs** — Você deve implementar o AWS WAF JavaScript e o mobile SDKs se usar o nível de proteção direcionado do grupo de regras do Bot Control. As regras específicas usam informações fornecidas pelos tokens do SDKs cliente para aprimorar a detecção contra bots maliciosos. Para obter mais informações sobre o SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).
+ **Registro e métricas** — Você pode monitorar seu tráfego de bots e entender como o grupo de regras gerenciadas do Bot Control avalia e gerencia seu tráfego estudando os dados coletados para seu pacote de proteção (web ACL) por AWS WAF logs, Amazon Security Lake e Amazon. CloudWatch Os rótulos que o Controle de Bots adiciona às suas solicitações da Web são incluídos nos dados. Para obter informações sobre essas opções, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md), [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) . 

  Dependendo das suas necessidades e do tráfego que você vê, talvez você queira personalizar sua implementação do Controle de Bots. A seguir estão algumas das opções mais usadas.
+ **Instruções de redução de escopo**: você pode excluir parte do tráfego das solicitações da web que o grupo de regras gerenciadas do Controle de Bots avalia adicionando uma instrução de redução de escopo dentro da instrução de referência do grupo de regras gerenciadas do Controle de Bots. Uma instrução de redução de escopo pode ser qualquer instrução de regra aninhável. Quando uma solicitação não corresponde à instrução de escopo, AWS WAF avalia-a como não correspondente à declaração de referência do grupo de regras sem avaliá-la em relação ao grupo de regras. Para saber mais sobre instruções de redução do escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

  Seus custos de uso do grupo de regras gerenciadas do Controle de Bots aumentam com o número de solicitações da Web que o AWS WAF avalia com ele. Você pode ajudar a reduzir esses custos usando uma instrução de escopo para limitar as solicitações que o grupo de regras avalia. Por exemplo, talvez você queira permitir que sua página inicial seja carregada para todos, incluindo bots, e depois aplicar as regras do grupo de regras às solicitações que vão para seu aplicativo APIs ou que contêm um tipo específico de conteúdo. 
+ **Regras de correspondência de rótulos e rótulos** — Você pode personalizar como o grupo de regras de controle de bots lida com parte do tráfego de bots que ele identifica usando a declaração de regra de correspondência de AWS WAF rótulos. O grupo de regras do Controle de Bots adiciona rótulos às suas solicitações da web. Você pode adicionar regras de correspondência de rótulos após o grupo de regras do Controle de Bots que correspondem aos rótulos do Controle de Bots e aplicar o tratamento de que você precisa. Para saber mais sobre rotulagem e uso de instruções de correspondência de rótulos, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md). 
+ **Solicitações e respostas** personalizadas — Você pode adicionar cabeçalhos personalizados às solicitações que você permite e enviar respostas personalizadas para solicitações que você bloqueia combinando a etiqueta com os recursos AWS WAF personalizados de solicitação e resposta. Para saber mais sobre como personalizar solicitações e respostas, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

# Usando a integração de aplicativos SDKs com o Bot Control
<a name="waf-bot-with-tokens"></a>

Esta seção explica como usar a integração de aplicativos SDKs com o Bot Control.

A maioria das proteções direcionadas do grupo de regras gerenciadas do Bot Control exige os tokens de desafio que a integração do aplicativo SDKs gera. As regras que não exigem um token de desafio na solicitação são as proteções de nível comum do Controle de Bots e as regras de machine learning de nível direcionado. Para obter descrições dos níveis de proteção e das regras no grupo de regras, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). 

É altamente recomendável implementar a integração SDKs de aplicativos para o uso mais eficaz do grupo de regras do Bot Control. O script de desafio deve ser executado antes do grupo de regras do Controle de Bots para que o grupo de regras se beneficie dos tokens que o script adquire. 
+ Com a integração do aplicativo SDKs, o script é executado automaticamente.
+ Se você não conseguir usar o SDKs, você pode configurar seu pacote de proteção (Web ACL) para que ele execute a ação da CAPTCHA regra Challenge ou em todas as solicitações que serão inspecionadas pelo grupo de regras do Bot Control. O uso da ação de regra Challenge ou CAPTCHA pode incorrer em taxas adicionais. Para obter detalhes sobre os preços, consulte [Preços do AWS WAF](https://aws.amazon.com/waf/pricing/). 

Ao implementar a integração de aplicativos SDKs em seus clientes ou usar uma das ações de regra que executa o script de desafio, você expande os recursos do grupo de regras e da segurança geral do aplicativo cliente. 

Os tokens fornecem informações do cliente com cada solicitação da web. Essas informações adicionais permitem que o grupo de regras do Controle de Bots separe sessões legítimas de clientes de sessões de clientes mal-comportados, mesmo quando ambas se originam de um único endereço IP. O grupo de regras usa as informações nos tokens para agregar o comportamento da solicitação de sessão do cliente para a detecção e mitigação ajustadas que o nível de proteção direcionada fornece. 

Para obter informações sobre o SDKs, consulte[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter informações sobre AWS WAF tokens, consulte[Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). Para mais informações sobre as ações de regra, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

# Adicionar o grupo de regras gerenciadas do AWS WAF Bot Control à sua ACL da web
<a name="waf-bot-control-rg-using"></a>

Esta seção explica como adicionar e configurar o grupo de regras `AWSManagedRulesBotControlRuleSet`.

O `AWSManagedRulesBotControlRuleSet` do grupo de regras gerenciadas do Controle de Bots exige configuração adicional para identificar o nível de proteção que você deseja implementar. 

Para obter a descrição do grupo de regras e a lista de regras, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console](waf-using-managed-rule-group.md).

**Siga as práticas recomendadas**  
Use o grupo de regras do Controle de Bots de acordo com as práticas recomendadas em [Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md). 

**Para usar o grupo de regras `AWSManagedRulesBotControlRuleSet` no pacote de proteção (ACL da Web)**

1. Adicione o grupo de regras AWS gerenciadas `AWSManagedRulesBotControlRuleSet` ao seu pacote de proteção (Web ACL). Para obter a descrição completa do grupo de regras, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Ao adicionar o grupo de regras, edite-o para abrir a página de configuração do grupo de regras. 

1. Na página de configuração do grupo de regras, no painel **Nível de inspeção**, selecione o nível de inspeção que você deseja usar. 
   + **Comum**: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar. 
   + **Direcionado**: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano. 
     + **`TGT_`**: as regras que fornecem proteção direcionada têm nomes que começam com `TGT_`. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. 
     + **`TGT_ML_`**: as regras de proteção direcionada que usam machine learning têm nomes que começam com `TGT_ML_`. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras. 

1. Se você estiver usando o nível de proteção direcionado e não quiser usar o aprendizado de máquina (ML) AWS WAF para analisar o tráfego da web em busca de atividades de bots distribuídas e coordenadas, desative a opção de aprendizado de máquina. O machine learning é necessário para as regras do Controle de Bots cujos nomes começam com `TGT_ML_`. Para obter detalhes sobre essas regras, consulte [Lista de regras do Controle de Bots](aws-managed-rule-groups-bot.md#aws-managed-rule-groups-bot-rules).

1. Adicione uma instrução de redução de escopo para o grupo de regras, para conter os custos de seu uso. Uma instrução de redução de escopo restringe o conjunto de solicitações que o grupo de regras inspeciona. Por exemplos de casos de uso, comece com [Exemplo de Controle de Bots: usar o Controle de Bots somente para a página de login](waf-bot-control-example-scope-down-login.md) e [Exemplo de Controle de Bots: usar o Controle de Bots somente para conteúdo dinâmico](waf-bot-control-example-scope-down-dynamic-content.md). 

1. Forneça qualquer configuração adicional necessária para o grupo de regras. 

1. Salve suas alterações no pacote de proteção (ACL da Web). 

Antes de implantar sua implementação de Controle de Bots para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte as seções a seguir para obter orientação. 

# Exemplos de cenários de falsos positivos com o AWS WAF Bot Control
<a name="waf-bot-control-false-positives"></a>

 Esta seção fornece exemplos de situações em que você pode encontrar falsos positivos com o AWS WAF Bot Control.

Selecionamos cuidadosamente as regras no grupo de regras gerenciadas do AWS WAF Bot Control para minimizar os falsos positivos. Testamos as regras em relação ao tráfego global e monitoramos seu impacto nos pacotes de proteção de teste (web ACLs). No entanto, ainda é possível obter falsos positivos devido às mudanças nos padrões de tráfego. Além disso, sabe-se que alguns casos de uso causam falsos positivos e exigirão personalização específica para seu tráfego da web. 

As situações em que você pode encontrar falsos positivos incluem o seguinte: 
+ Os aplicativos móveis geralmente têm agentes de usuário que não são do navegador, que a regra `SignalNonBrowserUserAgent` bloqueia por padrão. Se você espera tráfego de aplicativos móveis ou de qualquer outro tráfego legítimo com agentes de usuário que não sejam do navegador, precisará adicionar uma exceção para permitir isso. 
+ Você pode confiar em algum tráfego específico de bots para coisas como monitoramento de tempo de atividade, testes de integração ou ferramentas de marketing. Se o Controle de Bots identificar e bloquear o tráfego de bots que você deseja permitir, você precisará alterar o tratamento adicionando suas próprias regras. Embora esse não seja um cenário de falso positivo para todos os clientes, se for para você, você precisará lidar com isso da mesma forma que com um falso positivo. 
+ O grupo de regras gerenciadas do Bot Control verifica os bots usando os endereços IP de AWS WAF. Se você usa o Controle de Bots e verificou que os bots são roteados por meio de um proxy ou balanceador de carga, pode ser necessário permitir explicitamente que eles usem uma regra personalizada. Para obter mais informações sobre a criação de uma regra personalizada deste tipo, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md). 
+ Uma regra do Controle de Bots com uma baixa taxa global de falsos positivos pode impactar fortemente dispositivos ou aplicativos específicos. Por exemplo, em testes e validação, talvez não tenhamos observado solicitações de aplicativos com baixos volumes de tráfego ou de navegadores ou dispositivos menos comuns. 
+ Uma regra do Controle de Bots que tem uma taxa historicamente baixa de falsos positivos pode ter aumentado os falsos positivos para tráfego válido. Isso pode ser devido a novos padrões de tráfego ou recursos de solicitação que surgem com tráfego válido, fazendo com que ele corresponda à regra onde não correspondia antes. Essas mudanças podem ocorrer devido a situações como as seguintes:
  + Detalhes do tráfego que são alterados à medida que o tráfego flui por meio de dispositivos de rede, como balanceadores de carga ou redes de distribuição de conteúdo (CDN).
  + Mudanças emergentes nos dados de tráfego, por exemplo, novos navegadores ou novas versões para navegadores existentes.

Para obter informações sobre como lidar com falsos positivos que você pode obter do grupo de regras gerenciadas do Controle de Bots do AWS WAF , consulte as orientações na seção a seguir, [Testando e implantando o AWS WAF Bot Control](waf-bot-control-deploying.md).

# Testando e implantando o AWS WAF Bot Control
<a name="waf-bot-control-deploying"></a>

Esta seção fornece orientação geral para configurar e testar uma implementação do AWS WAF Bot Control para seu site. As etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e das solicitações da web que você receber. 

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de regras AWS gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Risco de tráfego de produção**  
Antes de implantar sua implementação de Controle de Bots para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Para configurar e testar uma implementação do Controle de Bots**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Adicione o grupo de regras gerenciadas do Controle de Bots**
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Adicione o grupo de AWS regras gerenciadas `AWSManagedRulesBotControlRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). 
   + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: 
     + No painel **Nível de inspeção**, selecione o nível de inspeção que você deseja usar. 
       + **Comum**: detecta uma variedade de bots que se identificam automaticamente, como estruturas de raspagem web, mecanismos de pesquisa e navegadores automatizados. As proteções do Controle de Bots nesse nível identificam bots comuns usando técnicas tradicionais de detecção de bots, como análise estática de dados de solicitações. As regras rotulam o tráfego desses bots e bloqueiam aqueles que eles não podem verificar. 
       + **Direcionado**: inclui proteções de nível comum e adiciona detecção direcionada para bots sofisticados que não se identificam. As proteções direcionadas mitigam a atividade dos bots usando uma combinação de limitação de intervalo e CAPTCHA e desafios de navegador em segundo plano. 
         + **`TGT_`**: as regras que fornecem proteção direcionada têm nomes que começam com `TGT_`. Todas as proteções direcionadas usam técnicas de detecção, como interrogação do navegador, impressão digital e heurística comportamental, para identificar tráfego incorreto de bots. 
         + **`TGT_ML_`**: as regras de proteção direcionada que usam machine learning têm nomes que começam com `TGT_ML_`. Essas regras usam análise automatizada de aprendizado de máquina das estatísticas de tráfego do site para detectar comportamentos anômalos indicativos de atividades de bots distribuídas e coordenadas. AWS WAF analisa estatísticas sobre o tráfego do seu site, como registros de data e hora, características do navegador e URL anterior visitado, para melhorar o modelo de aprendizado de máquina do Bot Control. Os recursos de machine learning são ativados por padrão, mas você pode desativá-los na configuração do grupo de regras. Quando o aprendizado de máquina está desativado, AWS WAF não avalia essas regras. 

       Para saber mais sobre essa opção, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md). 
     + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para obter mais informações, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Com essa substituição, você pode monitorar o impacto potencial das regras do Controle de Bots no seu tráfego para determinar se deseja adicionar exceções para coisas como casos de uso internos ou bots desejados. 
   + Posicione o grupo de regras para que ele seja avaliado por último no pacote de proteção (ACL da Web), com uma configuração de prioridade numericamente mais alta do que qualquer outra regra ou grupo de regras que você já esteja usando. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

     Dessa forma, seu tratamento atual de tráfego não é interrompido. Por exemplo, se você tiver regras que detectem tráfego mal-intencionado, como injeção de SQL ou scripts entre sites, elas continuarão detectando e registrando essas solicitações. Como alternativa, se você tiver regras que permitem tráfego não malicioso conhecido, elas podem continuar permitindo esse tráfego, sem que ele seja bloqueado pelo grupo de regras gerenciadas do Controle de Bots. Você pode decidir ajustar a ordem de processamento durante suas atividades de teste e ajuste, mas essa é uma boa maneira de começar.

1. 

**Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)**

   Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do Controle de Bots com seu tráfego. 
   + Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Monitore as correspondências de tráfego e regras do Controle de Bots**

   Verifique se o tráfego está fluindo e se as regras do grupo de regras gerenciadas do Controle de Bots estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas de bots e rótulos nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu.
**nota**  
O grupo de regras gerenciadas do Controle de Bots verifica os bots usando os endereços IP do AWS WAF. Se você usa o Controle de Bots e verificou que os bots são roteados por meio de um proxy ou balanceador de carga, pode ser necessário permitir explicitamente que eles usem uma regra personalizada. Para obter informações sobre como criar uma regra personalizada, consulte [Usando endereços IP encaminhados em AWS WAF](waf-rule-statement-forwarded-ip-address.md). Para obter informações sobre como você pode usar a regra para personalizar o tratamento de solicitações web do Controle de Bots, consulte a próxima etapa. 

   Analise cuidadosamente o tratamento de solicitações da web em busca de falsos positivos que você possa precisar mitigar com o tratamento personalizado. Para exemplos de falsos positivos, consulte [Exemplos de cenários de falsos positivos com o AWS WAF Bot Control](waf-bot-control-false-positives.md).

1. 

**Personalize o tratamento de solicitações da web do Controle de Bots**

   Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras do Controle de Bots lidariam com elas. 

   A forma como você faz isso depende do seu caso de uso, mas as soluções a seguir são comuns:
   + Permita explicitamente solicitações com uma regra que você adiciona antes do grupo de regras gerenciadas do Controle de Bots. Com isso, as solicitações permitidas nunca chegam ao grupo de regras para avaliação. Isso pode ajudar a conter o custo de usar o grupo de regras gerenciadas do Controle de Bots. 
   + Exclua solicitações da avaliação do Controle de Bots adicionando uma instrução de escopo abaixo da instrução do grupo de regras gerenciadas do Controle de Bots. Isso funciona da mesma forma que a opção anterior. Isso pode ajudar a conter o custo do uso do grupo de regras gerenciadas do Controle de Bots porque as solicitações que não correspondem à instrução de redução de escopo nunca chegam à avaliação do grupo de regras. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md). 

     Para obter exemplos, consulte os seguintes: 
     + [Como excluir o intervalo de IP do gerenciamento de bots](waf-bot-control-example-scope-down-ip.md)
     + [Como permitir o tráfego de um bot que você controla](waf-bot-control-example-scope-down-your-bot.md)
   + Use rótulos do Controle de Bots no tratamento de solicitações para permitir ou bloquear solicitações. Adicione uma regra de correspondência de rótulo após o grupo de regras gerenciadas do Controle de Bots para filtrar as solicitações rotuladas que você deseja permitir daquelas que deseja bloquear. 

     Após o teste, mantenha as regras do Controle de Bots relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. Para obter mais informações sobre instruções de correspondência de rótulo, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md). 

     Para obter exemplos desse tipo de personalização, consulte o seguinte: 
     + [Como criar uma exceção para um agente de usuário bloqueado](waf-bot-control-example-user-agent-exception.md)
     + [Como permitir um bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md)
     + [Como bloquear bots verificados](waf-bot-control-example-block-verified-bots.md)

   Para obter exemplos adicionais, consulte [AWS WAF Exemplos de controle de bots](waf-bot-control-examples.md).

1. 

**Conforme necessário, habilite as configurações do grupo de regras gerenciadas do Controle de Bots**

   Dependendo da sua situação, você pode ter decidido deixar algumas regras do Controle de Bots no modo de contagem ou com uma substituição de ação diferente. Para as regras que você deseja que sejam executadas conforme configuradas dentro do grupo de regras, habilite a configuração de regra normal. Para isso, edite a instrução do grupo de regras no pacote de proteção (ACL da Web) e faça suas alterações no painel **Regras**. 

# AWS WAF Exemplos de controle de bots
<a name="waf-bot-control-examples"></a>

Esta seção mostra exemplos de configurações que atendem a uma variedade de casos de uso comuns para implementações do AWS WAF Bot Control. 

Cada exemplo fornece uma descrição do caso de uso e, em seguida, mostra a solução nas listas JSON para as regras personalizadas configuradas. 

**nota**  
As listas JSON mostradas nesses exemplos foram criadas no console configurando a regra e depois editando-a usando o **Editor JSON de regras**. 

**Topics**
+ [

# Exemplo de Controle de Bots: configuração simples
](waf-bot-control-example-basic.md)
+ [

# Exemplo de Controle de Bots: permitir explicitamente bots verificados
](waf-bot-control-example-allow-verified-bots.md)
+ [

# Exemplo de Controle de Bots: bloquear bots verificados
](waf-bot-control-example-block-verified-bots.md)
+ [

# Exemplo de Controle de Bots: permitir um bot bloqueado específico
](waf-bot-control-example-allow-blocked-bot.md)
+ [

# Exemplo de Controle de Bots: criar uma exceção para um agente de usuário bloqueado
](waf-bot-control-example-user-agent-exception.md)
+ [

# Exemplo de Controle de Bots: usar o Controle de Bots somente para a página de login
](waf-bot-control-example-scope-down-login.md)
+ [

# Exemplo de Controle de Bots: usar o Controle de Bots somente para conteúdo dinâmico
](waf-bot-control-example-scope-down-dynamic-content.md)
+ [

# Exemplo de Controle de Bots: excluir o intervalo de IP do gerenciamento de bots
](waf-bot-control-example-scope-down-ip.md)
+ [

# Exemplo de Controle de Bots: permitir o tráfego de um bot que você controla
](waf-bot-control-example-scope-down-your-bot.md)
+ [

# Exemplo de Controle de Bots: habilitar o nível de inspeção direcionado
](waf-bot-control-example-targeted-inspection-level.md)
+ [

# Exemplo de controle de bots: uso de duas instruções para limitar o uso do nível de inspeção desejado
](waf-bot-control-example-common-and-targeted-inspection-level.md)

# Exemplo de Controle de Bots: configuração simples
<a name="waf-bot-control-example-basic"></a>

A lista JSON a seguir mostra um exemplo de pacote de proteção (Web ACL) com um grupo de regras gerenciadas pelo AWS WAF Bot Control. Observe a configuração de visibilidade, que faz com que AWS WAF as amostras e métricas de solicitações sejam armazenadas para fins de monitoramento. 

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
         "Name": "AWS-AWSBotControl-Example",
         "Priority": 5,
         "Statement": {
            "ManagedRuleGroupStatement": {
               "VendorName": "AWS",
               "Name": "AWSManagedRulesBotControlRuleSet",
               "ManagedRuleGroupConfigs": [
                 {
                   "AWSManagedRulesBotControlRuleSet": {
                     "InspectionLevel": "COMMON"
                   }
                 }
               ],
               "RuleActionOverrides": [],
               "ExcludedRules": []
            },
            "VisibilityConfig": {
               "SampledRequestsEnabled": true,
               "CloudWatchMetricsEnabled": true,
               "MetricName": "AWS-AWSBotControl-Example"
             }
          }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# Exemplo de Controle de Bots: permitir explicitamente bots verificados
<a name="waf-bot-control-example-allow-verified-bots"></a>

AWS WAF O Bot Control não bloqueia bots conhecidos por AWS serem comuns e verificáveis. Quando o Controle de Bots identifica uma solicitação da web como proveniente de um bot verificado, ele adiciona um rótulo que nomeia o bot e um rótulo que indica que é um bot verificado. O Controle de Bots não adiciona nenhum outro rótulo, como rótulos de sinais, para evitar que bots conhecidos como bons sejam bloqueados.

Você pode ter outras AWS WAF regras que bloqueiam bots verificados. Se você quiser garantir que bots verificados sejam permitidos, adicione uma regra personalizada para permiti-los com base nos rótulos do Controle de Bots. Sua nova regra deve ser executada após o grupo de regras gerenciadas do Controle de Bots, para que os rótulos estejam disponíveis para correspondência. 

A regra a seguir permite explicitamente bots verificados.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Allow": {}
    }
}
```

# Exemplo de Controle de Bots: bloquear bots verificados
<a name="waf-bot-control-example-block-verified-bots"></a>

Para bloquear bots verificados, você deve adicionar uma regra para bloqueá-los que seja executada após o grupo de regras gerenciadas do Controle de Bots do AWS WAF . Para fazer isso, identifique os nomes dos bots que você deseja bloquear e use uma instrução de correspondência de rótulo para identificá-los e bloqueá-los. Se você quiser apenas bloquear todos os bots verificados, você pode omitir a correspondência com o rótulo `bot:name:`. 

A regra a seguir bloqueia somente o bot verificado `bingbot`. Essa regra deve ser executada após o grupo de regras gerenciadas do Controle de Bots.

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:name:bingbot"
            }
          },
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:bot:verified"
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
  }
```

A regra a seguir bloqueia todos os bots verificados.

```
{
    "Name": "match_rule",
    "Statement": {
      "LabelMatchStatement": {
        "Scope": "LABEL",
        "Key": "awswaf:managed:aws:bot-control:bot:verified"
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    }
}
```

# Exemplo de Controle de Bots: permitir um bot bloqueado específico
<a name="waf-bot-control-example-allow-blocked-bot"></a>

É possível que um bot seja bloqueado por mais de uma das regras do Controle de Bots. Execute o procedimento a seguir para cada regra de bloqueio. 

Se uma AWS WAF regra de controle de bots estiver bloqueando um bot que você não deseja bloquear, faça o seguinte:

1. Identifique a regra do Controle de Bots que está bloqueando o bot verificando os logs. A regra de bloqueio será especificada nos logs nos campos cujos nomes começam com `terminatingRule`. Para obter mais informações sobre o pacote de proteção (ACL da Web), consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). Observe o rótulo que a regra adiciona às solicitações. 

1. No pacote de proteção (ACL da Web), substitua a ação da regra de bloqueio por contagem. Para fazer isso no console, edite a regra do grupo de regras no pacote de proteção (ACL da Web) e escolha uma substituição de ação da regra de Count para a regra. Isso garante que o bot não seja bloqueado pela regra, mas a regra ainda aplicará seu rótulo às solicitações correspondentes. 

1. Adicione uma regra de correspondência de rótulos ao pacote de proteção (ACL da Web), após o grupo de regras gerenciadas do Controle de Bots. Configure a regra para corresponder ao rótulo da regra substituída e bloquear todas as solicitações correspondentes, exceto o bot que você não deseja bloquear. 

   O pacote de proteção (ACL da Web) agora está configurado para que o bot que você quer permitir não seja mais bloqueado pela regra de bloqueio que você identificou por meio dos logs. 

Verifique o tráfego e seus logs novamente, para ter certeza de que o bot está sendo autorizado a passar. Caso contrário, execute o procedimento acima novamente.

Por exemplo, suponha que você queira bloquear todos os bots de monitoramento, exceto o `pingdom`. Nesse caso, você substitui a regra `CategoryMonitoring` para contar e, em seguida, escreve uma regra para bloquear todos os bots de monitoramento, exceto aqueles com o rótulo do nome do bot `pingdom`. 

A regra a seguir usa o grupo de regras gerenciadas do Controle de Bots, mas substitui a ação da regra para `CategoryMonitoring` para contar. A regra de monitoramento de categorias aplica seus rótulos normalmente às solicitações correspondentes, mas só os conta em vez de realizar sua ação usual de bloqueio. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "CategoryMonitoring"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

A regra a seguir corresponde ao rótulo de monitoramento de categoria que a regra `CategoryMonitoring` anterior adiciona às solicitações da web correspondentes. Entre as solicitações de monitoramento de categorias, essa regra bloqueia todas, exceto aquelas que têm um rótulo para o nome do bot `pingdom`. 

A regra a seguir deve ser executada após o grupo anterior de regras gerenciadas do Controle de Bots na ordem de processamento do pacote de proteção (ACL da Web). 

```
{
      "Name": "match_rule",
      "Priority": 10,
      "Statement": {
        "AndStatement": {
          "Statements": [
            {
              "LabelMatchStatement": {
                "Scope": "LABEL",
                "Key": "awswaf:managed:aws:bot-control:bot:category:monitoring"
              }
            },
            {
              "NotStatement": {
                "Statement": {
                  "LabelMatchStatement": {
                    "Scope": "LABEL",
                    "Key": "awswaf:managed:aws:bot-control:bot:name:pingdom"
                  }
                }
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "match_rule"
      }
}
```

# Exemplo de Controle de Bots: criar uma exceção para um agente de usuário bloqueado
<a name="waf-bot-control-example-user-agent-exception"></a>

Se o tráfego de alguns agentes de usuário que não são do navegador estiver sendo bloqueado erroneamente, você pode criar uma exceção definindo a regra de controle de AWS WAF bots ofensiva como Count e, em seguida, combinando `SignalNonBrowserUserAgent` a rotulagem da regra com seus critérios de exceção. 

**nota**  
Os aplicativos móveis geralmente têm agentes de usuário que não são do navegador, que a regra `SignalNonBrowserUserAgent` bloqueia por padrão. 

A regra a seguir usa o grupo de regras gerenciadas do Controle de Bots, mas substitui a ação da regra para `SignalNonBrowserUserAgent` para contar. A regra de sinal aplica seus rótulos normalmente às solicitações correspondentes, mas só os conta em vez de realizar sua ação usual de bloqueio. 

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
	  "RuleActionOverrides": [
        {
          "ActionToUse": {
            "Count": {}
          },
          "Name": "SignalNonBrowserUserAgent"
        }
      ],
      "ExcludedRules": []
    }
  },
  "VisibilityConfig": {
    "SampledRequestsEnabled": true,
    "CloudWatchMetricsEnabled": true,
    "MetricName": "AWS-AWSBotControl-Example"
  }
}
```

A regra a seguir corresponde ao rótulo de sinal que o `SignalNonBrowserUserAgent` da regra do Controle de Bots adiciona a suas solicitações da web correspondentes. Entre as solicitações de sinal, essa regra bloqueia todas, exceto aquelas que têm o agente de usuário que queremos permitir. 

A regra a seguir deve ser executada após o grupo anterior de regras gerenciadas do Controle de Bots na ordem de processamento do pacote de proteção (ACL da Web). 

```
{
    "Name": "match_rule",
    "Statement": {
      "AndStatement": {
        "Statements": [
          {
            "LabelMatchStatement": {
              "Scope": "LABEL",
              "Key": "awswaf:managed:aws:bot-control:signal:non_browser_user_agent"
            }
          },
          {
            "NotStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "SingleHeader": {
                      "Name": "user-agent"
                    }
                  },
                  "PositionalConstraint": "EXACTLY",
                  "SearchString": "PostmanRuntime/7.29.2",
                  "TextTransformations": [
                    {
                      "Priority": 0,
                      "Type": "NONE"
                    }
                  ]
                }
              }
            }
          }
        ]
      }
    },
    "RuleLabels": [],
    "Action": {
      "Block": {}
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "match_rule"
    }
}
```

# Exemplo de Controle de Bots: usar o Controle de Bots somente para a página de login
<a name="waf-bot-control-example-scope-down-login"></a>

O exemplo a seguir usa uma declaração de escopo reduzido para aplicar o AWS WAF Bot Control somente ao tráfego que chega à página de login de um site, que é identificado pelo caminho do URI. `login` O caminho do URI para sua página de login pode ser diferente do exemplo, dependendo do aplicativo e do ambiente.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "ByteMatchStatement": {
        "SearchString": "login",
        "FieldToMatch": {
          "UriPath": {}
        },
        "TextTransformations": [
          {
            "Priority": 0,
            "Type": "NONE"
          }
        ],
        "PositionalConstraint": "CONTAINS"
      }
    }
  }
}
```

# Exemplo de Controle de Bots: usar o Controle de Bots somente para conteúdo dinâmico
<a name="waf-bot-control-example-scope-down-dynamic-content"></a>

Este exemplo usa uma declaração de escopo reduzido para aplicar o AWS WAF Bot Control somente ao conteúdo dinâmico. 

A instrução de redução de escopo exclui o conteúdo estático negando os resultados da correspondência para um conjunto de padrões regex: 
+ O conjunto de padrões regex é configurado para corresponder às extensões do *conteúdo estático*. Por exemplo, a especificação do conjunto de padrões regex pode ser `(?i)\.(jpe?g|gif|png|svg|ico|css|js|woff2?)$`. Para obter informações sobre como gerenciar conjuntos e instruções de padrões de regex, consulte [Instrução de regra de correspondência do conjunto de padrões de regex](waf-rule-statement-type-regex-pattern-set-match.md). 
+ Na instrução de redução de escopo, excluímos o conteúdo estático correspondente aninhando a instrução regex de definição de padrão dentro de uma instrução `NOT`. Para obter mais informações sobre a instrução `NOT`, consulte [Instrução de regra do NOT](waf-rule-statement-type-not.md).

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
	  "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "RegexPatternSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/regexpatternset/excludeset/00000000-0000-0000-0000-000000000000",
            "FieldToMatch": {
              "UriPath": {}
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ]
          }
        }
      }
    }
  }
}
```

# Exemplo de Controle de Bots: excluir o intervalo de IP do gerenciamento de bots
<a name="waf-bot-control-example-scope-down-ip"></a>

Se você quiser excluir um subconjunto do tráfego da web do gerenciamento do AWS WAF Bot Control e puder identificar esse subconjunto usando uma declaração de regra, exclua-o adicionando uma declaração de escopo reduzido à sua declaração de grupo de regras gerenciadas pelo Bot Control. 

A regra a seguir executa o gerenciamento normal de bots do Controle de Bots em todo o tráfego da web, exceto para solicitações da web provenientes de um intervalo específico de endereços IP.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "IPSetReferenceStatement": {
            "ARN": "arn:aws:wafv2:us-east-1:123456789:regional/ipset/friendlyips/00000000-0000-0000-0000-000000000000"
          }
        }
      }
    }
  }
}
```

# Exemplo de Controle de Bots: permitir o tráfego de um bot que você controla
<a name="waf-bot-control-example-scope-down-your-bot"></a>

Você pode configurar alguns bots de monitoramento de sites e bots personalizados para enviar cabeçalhos personalizados. Se você quiser permitir o tráfego desses tipos de bots, você pode configurá-los para adicionar um segredo compartilhado em um cabeçalho. Em seguida, você pode excluir as mensagens que têm o cabeçalho adicionando uma declaração de escopo reduzido à declaração do grupo de regras gerenciadas pelo AWS WAF Bot Control. 

O exemplo de regra a seguir exclui o tráfego com um cabeçalho secreto da inspeção do Controle de Bots.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "COMMON"
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    },
    "ScopeDownStatement": {
      "NotStatement": {
        "Statement": {
          "ByteMatchStatement": {
            "SearchString": "YSBzZWNyZXQ=",
            "FieldToMatch": {
              "SingleHeader": {
                "Name": "x-bypass-secret"
              }
            },
            "TextTransformations": [
              {
                "Priority": 0,
                "Type": "NONE"
              }
            ],
            "PositionalConstraint": "EXACTLY"
          }
        }
      }
    }
  }
}
```

# Exemplo de Controle de Bots: habilitar o nível de inspeção direcionado
<a name="waf-bot-control-example-targeted-inspection-level"></a>

Para um nível aprimorado de proteção, você pode ativar o nível de inspeção direcionado em seu grupo de regras gerenciadas pelo AWS WAF Bot Control.

No exemplo a seguir, os recursos de machine learning estão habilitados. Você pode desativar esse comportamento definindo `EnableMachineLearning` como `false`.

```
{
  "Name": "AWS-AWSBotControl-Example",
  "Priority": 5,
  "Statement": {
    "ManagedRuleGroupStatement": {
      "VendorName": "AWS",
      "Name": "AWSManagedRulesBotControlRuleSet",
      "ManagedRuleGroupConfigs": [
        {
          "AWSManagedRulesBotControlRuleSet": {
            "InspectionLevel": "TARGETED",
            "EnableMachineLearning": true
          }
        }
      ],
      "RuleActionOverrides": [],
      "ExcludedRules": []
    },
    "VisibilityConfig": {
      "SampledRequestsEnabled": true,
      "CloudWatchMetricsEnabled": true,
      "MetricName": "AWS-AWSBotControl-Example"
    }
  }
}
```

# Exemplo de controle de bots: uso de duas instruções para limitar o uso do nível de inspeção desejado
<a name="waf-bot-control-example-common-and-targeted-inspection-level"></a>

Como uma otimização de custos, você pode usar duas instruções de grupo de regras gerenciadas pelo AWS WAF Bot Control em seu pacote de proteção (web ACL), com níveis de inspeção e escopo separados. Por exemplo, você pode definir o escopo da instrução de nível de inspeção direcionado somente para endpoints de aplicativos mais confidenciais.

As duas instruções no exemplo a seguir têm escopo mutuamente exclusivo. Sem essa configuração, uma solicitação pode resultar em duas avaliações cobradas do Controle de Bots.

**nota**  
Não há compatibilidade para várias instruções fazendo referência a `AWSManagedRulesBotControlRuleSet` no editor visual do console. Em vez disso, use o editor JSON.

```
{
  "Name": "Bot-WebACL",
  "Id": "...",
  "ARN": "...",
  "DefaultAction": {
    "Allow": {}
  },
  "Description": "Bot-WebACL",
  "Rules": [
      {
        ...
      },
      {
       "Name": "AWS-AWSBotControl-Common",
       "Priority": 5,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "COMMON"
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Common"
           },
           "ScopeDownStatement": {
              "NotStatement": {
                "Statement": {
                  "ByteMatchStatement": {
                    "FieldToMatch": {
                      "UriPath": {}
                    },
                    "PositionalConstraint": "STARTS_WITH",
                    "SearchString": "/sensitive-endpoint",
                    "TextTransformations": [
                      {
                        "Type": "NONE",
                        "Priority": 0
                      }
                    ]
                  }
                }
              }
            }
        }
      },
      {
       "Name": "AWS-AWSBotControl-Targeted",
       "Priority": 6,
       "Statement": {
          "ManagedRuleGroupStatement": {
             "VendorName": "AWS",
             "Name": "AWSManagedRulesBotControlRuleSet",
             "ManagedRuleGroupConfigs": [
               {
                 "AWSManagedRulesBotControlRuleSet": {
                   "InspectionLevel": "TARGETED",
                   "EnableMachineLearning": true
                 }
               }
             ],
             "RuleActionOverrides": [],
             "ExcludedRules": []
          },
          "VisibilityConfig": {
             "SampledRequestsEnabled": true,
             "CloudWatchMetricsEnabled": true,
             "MetricName": "AWS-AWSBotControl-Targeted"
           },
           "ScopeDownStatement": {
              "Statement": {
                "ByteMatchStatement": {
                  "FieldToMatch": {
                    "UriPath": {}
                  },
                  "PositionalConstraint": "STARTS_WITH",
                  "SearchString": "/sensitive-endpoint",
                  "TextTransformations": [
                    {
                      "Type": "NONE",
                      "Priority": 0
                    }
                  ]
                }
              }
            }
        }
      }
    ],
    "VisibilityConfig": {
      ...
    },
    "Capacity": 1496,
    "ManagedByFirewallManager": false,
    "RetrofittedByFirewallManager": false
}
```

# AWS WAF Prevenção distribuída de negação de serviço (DDoS)
<a name="waf-anti-ddos"></a>

AWS WAF oferece proteção sofisticada e personalizável contra ataques DDo S em seus AWS recursos. Analise as opções descritas nesta seção e selecione o nível de proteção DDo anti-S que atenda às suas necessidades comerciais e de segurança.

Você pode escolher entre dois níveis de proteção DDo S em: AWS WAF

Proteção S em nível de recurso DDo  
O nível padrão funciona nos Application Load Balancers para defender contra fontes maliciosas conhecidas por meio da filtragem no host. Você pode configurar o comportamento de proteção para melhor reagir a possíveis eventos DDo S.  
Proteção S em nível de recurso DDo:  
+ Monitora seus padrões de tráfego automaticamente.
+ Atualiza a inteligência de ameaças em tempo real.
+ Protege contra fontes maliciosas conhecidas.
**Para otimizar os custos de solicitação de ACL da Web para seu Application Load Balancer**  
Você deve associar uma ACL da Web ao Application Load Balancer para habilitar proteção no nível do recurso. Se seu Application Load Balancer estiver associado a uma ACL da web sem configuração, você não incorrerá em cobranças de AWS WAF solicitações, mas não AWS WAF fornecerá amostras de solicitações ou relatórios sobre o Application Load Balancer em métricas. CloudWatch Você pode realizar as seguintes ações para habilitar os recursos de observabilidade do Application Load Balancer:  
+ Use a ação `Block` ou a ação `Allow` com cabeçalhos de solicitação personalizados no `DefaultAction`. Para mais informações, consulte [Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio](customizing-the-incoming-request.md).
+ Adicione as regras para uma ACL da Web. Para mais informações, consulte [AWS WAF regras](waf-rules.md).
+ Habilite um destino de registro em log. Para mais informações, consulte [Configurar registro em log para um pacote de proteção (ACL da Web)](logging-management-configure.md).
+ Associe a ACL da web a uma AWS Firewall Manager política. Para mais informações, consulte [Criação de uma AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF não fornecerá amostras de solicitações nem publicará CloudWatch métricas sem essas configurações.

AWS proteção do grupo de regras DDo gerenciadas S  
O nível avançado de proteções DDo S é oferecido por meio do`AWSManagedRulesAntiDDoSRuleSet`. O grupo de regras gerenciadas complementa a camada de proteção no nível do recurso, com as seguintes diferenças significativas:  
+ A proteção se estende tanto aos balanceadores de carga de aplicativos quanto às distribuições CloudFront 
+ As linhas de base de tráfego são criadas para seus recursos protegidos para melhorar a detecção de novos padrões de ataque.
+ O comportamento de proteção é ativado de acordo com os níveis de sensibilidade selecionados.
+ Gerencia e rotula solicitações para recursos protegidos durante prováveis eventos DDo S.
Para obter uma lista abrangente das regras e funcionalidades incluídas, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [

# Proteção DDo S em nível de recurso para balanceadores de carga de aplicativos
](waf-anti-ddos-alb.md)
+ [

# Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S
](waf-anti-ddos-advanced.md)

# Proteção DDo S em nível de recurso para balanceadores de carga de aplicativos
<a name="waf-anti-ddos-alb"></a>

A **proteção de nível de recurso DDo S** adiciona defesa imediata aos Application Load Balancers sem incorrer em cobranças pela implantação de grupos de regras AWS WAF gerenciados. Esse nível padrão de proteção DDo anti-S usa inteligência de AWS ameaças e análise de padrões de tráfego para proteger os Application Load Balancers. Para identificar fontes maliciosas conhecidas, a proteção DDo Anti-S executa a filtragem no host dos endereços IP diretos do cliente e X-Forwarded-For dos cabeçalhos (XFF). Depois que uma fonte maliciosa conhecida é identificada, a proteção é ativada por um dos dois modos:

**Ativo sob DDo S** é o modo de proteção padrão e é recomendado para a maioria dos casos de uso. 

Esse modo:
+ Ativa a proteção automaticamente ao detectar condições de alta carga ou possíveis DDo eventos S
+ Limita a taxa de tráfego de origens maliciosas conhecidas somente durante condições de ataque
+ Minimiza o impacto para o tráfego legítimo durante as operações normais
+ Usa métricas de integridade e dados de AWS WAF resposta do Application Load Balancer para determinar quando usar a proteção

**Sempre ligado** é um modo opcional que, uma vez habilitado, fica sempre ativo.

Esse modo: 
+ Mantém a proteção contínua contra origens maliciosas conhecidas
+ Limita a taxa de tráfego de origens maliciosas conhecidas em tempo real
+ Aplica proteção a conexões diretas e solicitações com cabeçalhos maliciosos IPs em XFF
+ Pode ter um impacto maior no tráfego legítimo, mas oferece segurança máxima

As solicitações bloqueadas pela proteção DDo S no nível do recurso são registradas nos CloudWatch registros como uma métrica ou uma `LowReputationPacketsDropped` métrica. `LowReputationRequestsDenied` Para mais informações, consulte [AWS WAF métricas e dimensões principais](waf-metrics.md#waf-metrics-general).

## Ativar a proteção DDo S padrão em uma WebACL existente
<a name="enabling-protection-alb"></a>

Você pode ativar a proteção DDo S ao criar uma Web ACL ou atualizar uma Web ACL existente associada ao Application Load Balancer.

**nota**  
Se você tiver uma Web ACL existente associada a um Application Load Balancer, a proteção DDo Anti-S será ativada por padrão ** DDocom Active** no modo S.

**Para ativar a proteção DDo Anti-S no AWS WAF console**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **Web ACLs** no painel de navegação e abra qualquer Web ACL associada a um Application Load Balancer.

1. Escolha ** AWS Recursos associados**.

1. Em **Proteção de nível DDo de recurso S**, escolha **Editar**.

1. Você pode selecionar um dos seguintes modos:
   + **Ativo em DDo S** (recomendado) - A proteção é ativada somente em condições de alta carga
   + **Sempre ativo**: proteção sempre ativa contra origens maliciosas conhecidas

1. Escolha **Salvar alterações**.

**nota**  
Para obter informações sobre a criação de uma ACL da Web, consulte [Criando um pacote de proteção (web ACL) no AWS WAF](web-acl-creating.md).

**Para otimizar os custos de solicitação de ACL da Web para seu Application Load Balancer**  
Você deve associar uma ACL da Web ao Application Load Balancer para habilitar proteção no nível do recurso. Se seu Application Load Balancer estiver associado a uma ACL da web sem configuração, você não incorrerá em cobranças de AWS WAF solicitações, mas não AWS WAF fornecerá amostras de solicitações ou relatórios sobre o Application Load Balancer em métricas. CloudWatch Você pode realizar as seguintes ações para habilitar os recursos de observabilidade do Application Load Balancer:  
Use a ação `Block` ou a ação `Allow` com cabeçalhos de solicitação personalizados no `DefaultAction`. Para mais informações, consulte [Como inserir cabeçalhos de solicitação personalizados para ações sem bloqueio](customizing-the-incoming-request.md).
Adicione as regras para uma ACL da Web. Para mais informações, consulte [AWS WAF regras](waf-rules.md).
Habilite um destino de registro em log. Para mais informações, consulte [Configurar registro em log para um pacote de proteção (ACL da Web)](logging-management-configure.md).
Associe a ACL da web a uma AWS Firewall Manager política. Para mais informações, consulte [Criação de uma AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).
AWS WAF não fornecerá amostras de solicitações nem publicará CloudWatch métricas sem essas configurações.

# Proteção DDo anti-S avançada usando o grupo de regras gerenciadas AWS WAF DDo Anti-S
<a name="waf-anti-ddos-advanced"></a>

O grupo de regras `AWSManagedRulesAntiDDoSRuleSet` gerenciadas é o nível mais avançado de proteções DDo anti-S disponível em AWS WAF.

**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

## AWS WAF Componentes DDo de proteção anti-S
<a name="waf-anti-ddos-components"></a>

Os principais componentes para implementar a proteção DDo anti-S avançada AWS WAF incluem o seguinte:

**`AWSManagedRulesAntiDDoSRuleSet`**— Detecta, rotula e desafia solicitações que provavelmente estão participando de um ataque DDo S. Também rotula todas as solicitações para um recurso protegido durante um evento. Para obter detalhes sobre as regras e rótulos do grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md). Para usar esse grupo de regras, o inclua no pacote de proteção (ACL da Web) usando uma instrução de referência do grupo de regras gerenciadas. Para mais informações, consulte [Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)](waf-anti-ddos-rg-using.md).
+ **Painéis de visão geral do tráfego da Web ACL** — fornecem monitoramento da atividade DDo S e das respostas DDo anti-S no console. Para obter mais informações, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md).
+ **Registro e métricas** — permitem monitorar o tráfego e entender os efeitos da proteção DDo anti-S. Configure registros, coleta de dados do Amazon Security Lake e CloudWatch métricas da Amazon para seu pacote de proteção (web ACL). Para obter informações sobre essas opções, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md), [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md) e [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) .
+ **Rótulos e regras de correspondência** de rótulos — permitem que você personalize o tratamento de solicitações da web identificadas pelo grupo de regras gerenciadas do DDo Anti-S. Para qualquer regra em `AWSManagedRulesAntiDDoSRuleSet`, você pode alternar para o modo de contagem e fazer a correspondência com os rótulos adicionados. Para saber mais, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md) e [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).
+ **Solicitações e respostas personalizadas**: permite que você adicione cabeçalhos personalizados às solicitações permitidas e envie respostas personalizadas para solicitações bloqueadas. Combine a correspondência de etiquetas com recursos AWS WAF personalizados de solicitação e resposta. Para obter mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

# Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)
<a name="waf-anti-ddos-rg-using"></a>

Esta seção explica como adicionar e configurar o grupo de regras `AWSManagedRulesAntiDDoSRuleSet`.

Para configurar o grupo de regras gerenciadas do DDo Anti-S, você fornece configurações que incluem a sensibilidade do grupo de regras aos ataques DDo S e as ações que ele executa em solicitações que estão ou possam estar participando dos ataques. Essa configuração é adicional à configuração normal de um grupo de regras gerenciadas. 

Para obter a descrição do grupo de regras e a lista de regras e rótulos, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. Para obter informações básicas sobre como adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), consulte [Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console](waf-using-managed-rule-group.md).

**Siga as práticas recomendadas**  
Use o grupo de regras DDo Anti-S de acordo com as melhores práticas em[Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md). 

**Para usar o grupo de regras `AWSManagedRulesAntiDDoSRuleSet` no pacote de proteção (ACL da Web)**

1. Adicione o grupo de regras AWS gerenciadas `AWSManagedRulesAntiDDoSRuleSet` ao seu pacote de proteção (Web ACL) e **edite** as configurações do grupo de regras antes de salvar. 
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

1. No painel **Configuração do grupo de regras**, forneça qualquer configuração personalizada para o grupo de regras `AWSManagedRulesAntiDDoSRuleSet`. 

   1. Em **Nível de sensibilidade do bloco**, especifique a confidencialidade que você deseja `DDoSRequests` que a regra tenha ao corresponder ao rótulo de suspeita DDo S do grupo de regras. Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde: 
      + A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
      + A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.
      + A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.

      Essa regra fornece o tratamento mais severo de solicitações da web suspeitas de participarem de ataques DDo S. 

   1. Em **Habilitar desafio**, escolha se deseja habilitar as regras `ChallengeDDoSRequests` e `ChallengeAllDuringEvent`, que, por padrão, aplicam a ação Challenge às solicitações que correspondem. 

      Essas regras fornecem tratamento de solicitações com o objetivo de permitir que usuários legítimos prossigam com suas solicitações enquanto bloqueiam os participantes do ataque DDo S. Você pode substituir as configurações de ação com Allow ou Count ou desabilitar totalmente seu uso.

      Se você habilitar essas regras, forneça as configurações adicionais que desejar: 
      + Em **Nível de sensibilidade do desafio**, especifique a sensibilidade que você deseja que a regra `ChallengeDDoSRequests` tenha. 

        Quanto maior a sensibilidade, menores são os níveis de rotulagem aos quais a regra corresponde: 
        + A baixa sensibilidade é menos sensível, fazendo com que a regra corresponda apenas aos participantes mais óbvios de um ataque, que têm o rótulo de alta suspeita `awswaf:managed:aws:anti-ddos:high-suspicion-ddos-request`.
        + A sensibilidade média faz com que a regra corresponda aos rótulos de suspeita média e alta.
        + A sensibilidade alta faz com que a regra corresponda aos rótulos de suspeita: baixa, média e alta.
      + Para **expressões regulares de URI isento**, forneça uma expressão regular que corresponda às URIs solicitações da web que não conseguem lidar com um desafio silencioso do navegador. A Challenge ação bloqueará efetivamente as solicitações URIs que não tenham o token de desafio, a menos que elas consigam lidar com o desafio do navegador silencioso. 

        A ação Challenge só pode ser tratada adequadamente por um cliente que espere conteúdo HTML. Para saber mais sobre como as ações de regra funcionam, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md). 

        Revise a expressão regular padrão e atualize-a conforme necessário. As regras usam a expressão regular especificada para identificar a solicitação URIs que não consegue lidar com a Challenge ação e impedir que as regras retornem um desafio. As solicitações que você exclui dessa maneira só podem ser bloqueadas pelo grupo de regras com a regra `DDoSRequests`. 

        A expressão padrão fornecida no console abrange a maioria dos casos de uso, mas você deve analisá-la e adaptá-la à sua aplicação. 

        AWS WAF suporta a sintaxe padrão usada pela biblioteca PCRE, `libpcre` com algumas exceções. A biblioteca está documentada em [PCRE: Expressões regulares compatíveis com Perl](http://www.pcre.org/). Para obter informações sobre AWS WAF suporte, consulte[Sintaxe de expressão regular suportada em AWS WAF](waf-regex-pattern-support.md).

1. Forneça as configurações adicionais que desejar para o grupo de regras. 
**nota**  
AWS recomenda não usar uma declaração de escopo reduzido com esse grupo de regras gerenciadas. A instrução scope-down limita as solicitações que o grupo de regras observa e, portanto, pode resultar em uma linha de base de tráfego imprecisa e na diminuição da detecção do evento S. DDo A opção de instrução de redução de escopo está disponível para todas as instruções do grupo de regras gerenciadas, mas não deve ser usada para essa. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).

1. Na página **Definir prioridade da regra**, mova a nova regra do grupo de regras gerenciado DDo anti-S para cima para que ela seja executada somente após qualquer regra de Allow ação que você tenha e antes de qualquer outra regra. Isso dá ao grupo de regras a capacidade de rastrear a maior parte do tráfego para proteção DDo Anti-S. 

1. Salve suas alterações no pacote de proteção (ACL da Web). 

Antes de implantar sua implementação DDo anti-S para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. Consulte a seção a seguir para obter orientação. 

# Testando e implantando o DDo Anti-S
<a name="waf-anti-ddos-deploying"></a>

Você desejará configurar e testar a prevenção de negação de serviço AWS WAF distribuída (DDoS) antes de implantar o recurso. Esta seção fornece orientações gerais para configuração e testes, no entanto, as etapas específicas que você escolher seguir dependerão de suas necessidades, recursos e solicitações da Web que receber. 

Essas informações são adicionais às informações gerais sobre testes e ajustes fornecidas em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
AWS As regras gerenciadas foram projetadas para proteger você contra ameaças comuns na web. Quando usados de acordo com a documentação, os grupos de regras de regras AWS gerenciadas adicionam outra camada de segurança aos seus aplicativos. No entanto, os grupos de regras de Regras AWS Gerenciadas não substituem suas responsabilidades de segurança, que são determinadas pelos AWS recursos que você seleciona. Consulte o [Modelo de Responsabilidade Compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) para garantir que seus recursos AWS estejam devidamente protegidos. 

**Risco de tráfego de produção**  
Teste e ajuste sua implementação DDo anti-S em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

Esta orientação é destinada a usuários que geralmente sabem como criar e gerenciar pacotes de AWS WAF proteção (web ACLs), regras e grupos de regras. Esses tópicos são abordados nas seções anteriores deste guia. 

**Para configurar e testar uma implementação de prevenção de negação de serviço AWS WAF distribuída (DDoS)**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Adicione o grupo de regras gerenciadas de prevenção de negação de serviço AWS WAF distribuído (DDoS) no modo de contagem**
**nota**  
Você paga taxas adicionais ao usar esse grupo de regras gerenciadas. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

   Adicione o grupo de regras de regras AWS gerenciadas `AWSManagedRulesAntiDDoSRuleSet` a um pacote de proteção novo ou existente (Web ACL) e configure-o para que ele não altere o comportamento atual do pacote de proteção (Web ACL). Para obter detalhes sobre as regras e rótulos desse grupo de regras, consulte [AWS WAF Grupo de regras de prevenção de negação de serviço distribuído (DDoS)](aws-managed-rule-groups-anti-ddos.md).
   + Ao adicionar o grupo de regras gerenciadas, edite-o e faça o seguinte: 
     + No painel **Configuração do grupo de regras**, forneça os detalhes necessários para realizar atividades DDo anti-S para seu tráfego na web. Para obter mais informações, consulte [Adicionar o grupo de regras gerenciadas DDo Anti-S ao seu pacote de proteção (web ACL)](waf-anti-ddos-rg-using.md).
     + No painel **Regras**, abra o menu suspenso **Substituir todas as ações da regra** e escolha **Count**. Com essa configuração, o AWS WAF avalia as solicitações em relação a todas as regras do grupo de regras e conta apenas as correspondências resultantes, sem deixar de adicionar rótulos às solicitações. Para obter mais informações, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

       Com essa substituição, você pode monitorar o impacto potencial das regras gerenciadas pelo DDo Anti-S para determinar se deseja fazer modificações, como expandir a expressão regular para aquelas URIs que não conseguem lidar com um desafio de navegador silencioso. 
   + Posicione o grupo de regras para que ele seja avaliado o mais cedo possível, imediatamente após qualquer regra que permita tráfego. As regras são avaliadas em ordem crescente de prioridade numérica. O console define a ordem para você, começando no início da sua lista de regras. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

1. 

**Habilitar registro em log e métricas para o pacote de proteção (ACL da Web)**

   Conforme necessário, configure o registro, a coleta de dados do Amazon Security Lake, a amostragem de solicitações e CloudWatch as métricas da Amazon para o pacote de proteção (web ACL). Você pode usar essas ferramentas de visibilidade para monitorar a interação do grupo de regras gerenciadas do DDo Anti-S com seu tráfego. 
   + Para obter informações sobre como configurar e usar logs, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + Para obter informações sobre o Amazon Security Lake, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado a um recurso de teste, faça isso. Para mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. 

**Monitore o tráfego e as correspondências DDo de regras Anti-S**

   Verifique se o tráfego normal está fluindo e se as regras do grupo de regras gerenciadas pelo DDo Anti-S estão adicionando rótulos às solicitações da web correspondentes. Você pode ver os rótulos nos registros e ver as métricas do DDo Anti-S e do rótulo nas CloudWatch métricas da Amazon. Nos logs, as regras que você substituiu para contar no grupo de regras aparecem em `ruleGroupList` com `action` definido para contar e com `overriddenAction` indicando a ação de regra configurada que você substituiu. 

1. 

**Personalize o tratamento de solicitações web do DDo Anti-S**

   Conforme necessário, adicione suas próprias regras que permitam ou bloqueiem solicitações explicitamente, para alterar a forma como as regras DDo Anti-S lidariam com elas. 

   Por exemplo, você pode usar rótulos DDo Anti-S para permitir ou bloquear solicitações ou para personalizar o tratamento de solicitações. Você pode adicionar uma regra de correspondência de rótulos após o grupo de regras gerenciadas do DDo Anti-S para filtrar solicitações rotuladas para o tratamento que você deseja aplicar. Após o teste, mantenha as regras DDo anti-S relacionadas no modo de contagem e mantenha as decisões de tratamento da solicitação em sua regra personalizada. 

1. 

**Remova as regras de teste e defina as configurações do DDo Anti-S**

   Analise os resultados do teste para determinar quais regras DDo anti-S você deseja manter no modo de contagem somente para monitoramento. Para todas as regras que você deseja executar com a proteção ativa, desabilite o modo de contagem na configuração do grupo de regras do pacote de proteção (ACL da Web) para permitir que elas executem suas ações configuradas. Depois de finalizar essas configurações, remova todas as regras temporárias de correspondência de rótulos de teste, mantendo as regras personalizadas que você criou para uso em produção. Para considerações adicionais sobre a configuração do DDo Anti-S, consulte[Melhores práticas para mitigação inteligente de ameaças em AWS WAF](waf-managed-protections-best-practices.md).

1. 

**Monitore e ajuste**

   Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a funcionalidade DDo Anti-S que você pretende usar. Ajuste o comportamento conforme necessário com a substituição da contagem de regras no grupo de regras e com suas próprias regras. 

# Melhores práticas para DDo anti-S
<a name="waf-anti-ddos-best-practices"></a>
+ **Habilite a proteção durante os períodos normais de tráfego**: isso permite que a proteção estabeleça padrões de linha de base de tráfego antes de responder aos ataques. Adicione proteção quando você não estiver enfrentando um ataque e reserve tempo para estabelecer a linha de base.
+ **Monitore as métricas regularmente** — revise CloudWatch as métricas para entender os padrões de tráfego e a eficácia da proteção.
+ **Considere o modo proativo para aplicações críticos**: embora o modo reativo seja recomendado para a maioria dos casos de uso, considere usar o modo proativo para aplicações que exigem proteção contínua contra ameaças conhecidas.
+ **Teste em ambientes de preparação**: antes de habilitar a proteção na produção, teste e ajuste as configurações em um ambiente de preparação para entender o impacto no tráfego legítimo.

# Integrações de aplicativos clientes em AWS WAF
<a name="waf-application-integration"></a>

Esta seção explica como usar a integração inteligente de ameaças APIs e a API de integração JavaScript CAPTCHA com seus AWS WAF recursos. 

Use APIs a integração AWS WAF do aplicativo cliente para unir as proteções do lado do cliente às proteções do pacote AWS de proteção do lado do servidor (Web ACL), para ajudar a verificar se os aplicativos cliente que enviam solicitações da Web aos recursos protegidos são os clientes pretendidos e se os usuários finais são seres humanos. 

Use as integrações do cliente para gerenciar desafios silenciosos do navegador e quebra-cabeças CAPTCHA, obter tokens com provas de respostas bem-sucedidas do navegador e do usuário final e incluir esses tokens nas solicitações aos seus endpoints protegidos. Para obter informações gerais sobre AWS WAF tokens, consulte[Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md). 

Combine suas integrações de clientes com as proteções do pacote de proteção (ACL da Web) que exigem tokens válidos para acesso aos seus recursos. Você pode usar grupos de regras que verificam e monitoram os tokens de desafio, como os listados na próxima seção, em [Integração inteligente de ameaças e regras AWS gerenciadas](waf-application-integration-with-AMRs.md), e você pode usar as ações de regras CAPTCHA e Challenge para verificar, conforme descrito em [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md). 

AWS WAF fornece dois níveis de integração para JavaScript aplicativos e um para aplicativos móveis: 
+ **Integração inteligente de ameaças** — verifique o aplicativo do cliente e forneça aquisição e gerenciamento de AWS tokens. Isso é semelhante à funcionalidade fornecida pela ação da AWS WAF Challenge regra. Essa funcionalidade integra totalmente seu aplicativo cliente ao grupo de regras gerenciadas `AWSManagedRulesACFPRuleSet`, ao grupo de regras gerenciadas `AWSManagedRulesATPRuleSet` e ao nível de proteção direcionada do grupo de regras gerenciadas `AWSManagedRulesBotControlRuleSet`. 

  A integração inteligente de ameaças APIs usa o desafio do navegador AWS WAF silencioso para ajudar a garantir que as tentativas de login e outras chamadas para seu recurso protegido sejam permitidas somente após o cliente adquirir um token válido. APIs Gerencie a autorização do token para as sessões do aplicativo cliente e reúna informações sobre o cliente para ajudar a determinar se ele está sendo operado por um bot ou por um ser humano. 
**nota**  
Isso está disponível para JavaScript e para aplicativos móveis Android e iOS. 
+ **Integração com CAPTCHA**: verifique os usuários finais com o quebra-cabeça CAPTCHA personalizado que você gerencia em seu aplicativo. Isso é semelhante à funcionalidade fornecida pela ação da AWS WAF CAPTCHA regra, mas com controle adicional sobre o posicionamento e o comportamento do quebra-cabeça. 

  Essa integração aproveita a integração JavaScript inteligente de ameaças para executar desafios silenciosos e fornecer AWS WAF tokens para a página do cliente. 
**nota**  
Isso está disponível para JavaScript aplicativos. 

**Topics**
+ [

# Integração inteligente de ameaças e regras AWS gerenciadas
](waf-application-integration-with-AMRs.md)
+ [

# Acessando a integração AWS WAF do aplicativo cliente APIs
](waf-application-integration-location-in-console.md)
+ [

# AWS WAF JavaScript integrações
](waf-javascript-api.md)
+ [

# AWS WAF integração de aplicativos móveis
](waf-mobile-sdk.md)

# Integração inteligente de ameaças e regras AWS gerenciadas
<a name="waf-application-integration-with-AMRs"></a>

Esta seção explica como a integração inteligente de ameaças APIs funciona com os grupos de regras de regras AWS gerenciadas.

A integração inteligente de ameaças APIs funciona com pacotes de proteção (web ACLs) que usam os grupos inteligentes de regras de ameaças para permitir a funcionalidade completa desses grupos avançados de regras gerenciadas. 
+ AWS WAF Grupo de regras gerenciadas para prevenção de fraudes (ACFP) para criação de contas de controle de fraudes. `AWSManagedRulesACFPRuleSet` 

  A fraude na criação de conta é uma atividade online ilegal na qual um invasor cria contas inválidas em seu aplicativo para fins como receber bônus de inscrição ou se passar por alguém. O grupo de regras gerenciadas do ACFP fornece regras para bloquear, rotular e gerenciar solicitações que podem fazer parte de tentativas fraudulentas de criação de conta. Eles APIs permitem a verificação refinada do navegador do cliente e as informações de interatividade humana que as regras do ACFP usam para separar o tráfego válido do cliente do tráfego malicioso.

  Para obter mais informações, consulte [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md) e [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md).
+ AWS WAF Grupo de regras gerenciadas para prevenção de aquisição de contas (ATP) para controle de fraudes. `AWSManagedRulesATPRuleSet` 

  A apropriação de conta é uma atividade ilegal online na qual um invasor obtém acesso não autorizado à conta de uma pessoa. O grupo de regras gerenciadas do ATP fornece regras para bloquear, rotular e gerenciar solicitações que podem fazer parte de tentativas maliciosas de apropriação de contas. Eles APIs permitem a verificação refinada do cliente e a agregação de comportamento que as regras do ATP usam para separar o tráfego válido do cliente do tráfego malicioso.

  Para obter mais informações, consulte [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md) e [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md).
+ Nível de proteção direcionado do grupo de regras gerenciadas do AWS WAF Bot Control`AWSManagedRulesBotControlRuleSet`. 

  Os bots vão desde os que se identificam automaticamente e são úteis, como a maioria dos mecanismos de pesquisa e crawlers, até bots maliciosos que operam contra seu site e não se identificam. O grupo de regras gerenciadas do Controle de Bots fornece regras para monitorar, rotular e gerenciar a atividade de bots em seu tráfego da web. Quando você usa o nível de proteção direcionado desse grupo de regras, as regras direcionadas usam as informações da sessão do cliente que APIs fornecem para detectar melhor os bots mal-intencionados. 

  Para obter mais informações, consulte [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md) e [AWS WAF Controle de bots](waf-bot-control.md).

Para adicionar um desses grupos de regras gerenciadas ao pacote de proteção (ACL da Web), consulte os procedimentos [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md), [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md) e [Adicionar o grupo de regras gerenciadas do AWS WAF Bot Control à sua ACL da web](waf-bot-control-rg-using.md).

**nota**  
Atualmente, os grupos de regras gerenciadas não bloqueiam solicitações sem tokens. Para bloquear solicitações sem tokens, depois de implementar a integração do aplicativo APIs, siga as orientações em[Bloqueio de solicitações que não têm um AWS WAF token válido](waf-tokens-block-missing-tokens.md). 

# Acessando a integração AWS WAF do aplicativo cliente APIs
<a name="waf-application-integration-location-in-console"></a>

Esta seção explica onde encontrar a integração de aplicativos APIs no AWS WAF console.

As JavaScript integrações APIs estão geralmente disponíveis e você pode usá-las em seus navegadores e outros dispositivos que são executados JavaScript. 

AWS WAF oferece integração inteligente personalizada de ameaças SDKs para aplicativos móveis Android e iOS. 
+ Para aplicativos Android para celular e TV, o SDKs Work for Android API versão 23 (Android versão 6) e versões posteriores. Para obter informações sobre as versões do Android, consulte as [Notas de lançamento da plataforma de SDK](https://developer.android.com/tools/releases/platforms).
+ Para aplicativos móveis iOS, eles SDKs funcionam para iOS versão 13 e posterior. Para obter informações sobre as versões do iOS, consulte as [Notas de versão do iOS e iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Para aplicativos da Apple TV, eles SDKs funcionam para tvOS versão 14 ou posterior. Para obter informações sobre as versões do tvOS, consulte [tvOS Release Notes](https://developer.apple.com/documentation/tvos-release-notes).

**Para acessar a integração APIs por meio do console**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **Integração de aplicativos** no painel de navegação e, em seguida, escolha a guia na qual você está interessado.
   + A **integração inteligente de ameaças** está disponível para JavaScript aplicativos móveis. 

     A guia contém o seguinte:
     + Uma lista dos pacotes de proteção (web ACLs) que estão habilitados para a integração inteligente de aplicativos contra ameaças. A lista inclui todo pacote de proteção (ACL da Web) que usa o grupo de regras gerenciadas `AWSManagedRulesACFPRuleSet`, o grupo de regras gerenciadas `AWSManagedRulesATPRuleSet` ou o nível de proteção visado do grupo de regras gerenciadas `AWSManagedRulesBotControlRuleSet`. Ao implementar a ameaça inteligente APIs, você usa a URL de integração do pacote de proteção (Web ACL) com o qual deseja se integrar.
     +  APIs Aquele ao qual você tem acesso. Eles JavaScript APIs estão sempre disponíveis. Para acessar o celular SDKs, entre em contato com o suporte em [Contato AWS](https://aws.amazon.com/contact-us).
   + A **integração CAPTCHA** está disponível para JavaScript aplicativos. 

     A guia contém o seguinte: 
     + O URL de integração para uso em sua integração. 
     + As chaves de API que você criou para os domínios do seu aplicativo cliente. Seu uso da API CAPTCHA requer uma chave de API criptografada que dê aos clientes o direito de acessar o AWS WAF CAPTCHA a partir de seus domínios. Para cada cliente com o qual você se integra, use uma chave de API que contenha o domínio do cliente. Para saber mais sobre esses requisitos e sobre o gerenciamento dessas chaves, consulte [Como gerenciar chaves de API para a API JS CAPTCHA](waf-js-captcha-api-key.md).

# AWS WAF JavaScript integrações
<a name="waf-javascript-api"></a>

Esta seção explica como usar as AWS WAF JavaScript integrações.

Você pode usar a JavaScript integração APIs para implementar integrações de AWS WAF aplicativos em seus navegadores e outros dispositivos que são JavaScript executados. 

Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 
+ A ameaça inteligente APIs permite que você gerencie a autorização de tokens por meio de um desafio silencioso do navegador do lado do cliente e inclua os tokens nas solicitações que você envia aos seus recursos protegidos. 
+ A API de integração do CAPTCHA aumenta a ameaça APIs inteligente e permite que você personalize o posicionamento e as características do quebra-cabeça do CAPTCHA em seus aplicativos clientes. Essa API aproveita a ameaça inteligente APIs para adquirir AWS WAF tokens para uso na página após o usuário final concluir com êxito o quebra-cabeça do CAPTCHA. 

Ao usar essas integrações, você garante que as chamadas de procedimento remoto feitas pelo seu cliente contenham um token válido. Quando essas integrações APIs estão implementadas nas páginas do seu aplicativo, você pode implementar regras atenuantes em seu pacote de proteção (web ACL), como bloquear solicitações que não contêm um token válido. Você também pode implementar regras que imponham o uso dos tokens que seus aplicativos clientes obtêm, usando as ações Challenge ou CAPTCHA em suas regras. 

**Exemplo de implementação de ameaça inteligente APIs**  
A lista a seguir mostra os componentes básicos de uma implementação típica da ameaça inteligente APIs em uma página de aplicativo web. 

```
<head>
<script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js" defer></script>
</head>
<script>
const login_response = await AwsWafIntegration.fetch(login_url, {
    method: 'POST',
    headers: {
      'Content-Type': 'application/json'
    },
    body: login_body
  });
</script>
```

**Exemplo de implementação da API CAPTCHA JavaScript**  
A API de integração CAPTCHA permite que você personalize a experiência de quebra-cabeça CAPTCHA de seus usuários finais. A integração CAPTCHA aproveita a integração JavaScript inteligente de ameaças, para verificação do navegador e gerenciamento de tokens, além de adicionar uma função para configurar e renderizar o quebra-cabeça do CAPTCHA. 

A lista a seguir mostra os componentes básicos de uma implementação típica da JavaScript API CAPTCHA em uma página de aplicativo web. 

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            ...
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Topics**
+ [

# Fornecimento de domínios para uso nos tokens
](waf-js-challenge-api-set-token-domain.md)
+ [

# Usando a JavaScript API com políticas de segurança de conteúdo
](waf-javascript-api-csp.md)
+ [

# Usando a JavaScript API de ameaças inteligentes
](waf-js-challenge-api.md)
+ [

# Usando a API CAPTCHA JavaScript
](waf-js-captcha-api.md)

# Fornecimento de domínios para uso nos tokens
<a name="waf-js-challenge-api-set-token-domain"></a>

Esta seção explica como fornecer domínios adicionais para tokens.

Por padrão, ao AWS WAF criar um token, ele usa o domínio host do recurso associado ao pacote de proteção (Web ACL). Você pode fornecer domínios adicionais para os tokens AWS WAF criados para o. JavaScript APIs Para fazer isso, configure a variável global `window.awsWafCookieDomainList`, com um ou mais domínios de token. 

Ao AWS WAF criar um token, ele usa o domínio mais adequado e mais curto dentre a combinação dos domínios `window.awsWafCookieDomainList` e do domínio do host do recurso associado ao pacote de proteção (Web ACL). 

Exemplo de configurações: 

```
window.awsWafCookieDomainList = ['.aws.amazon.com']
```

```
window.awsWafCookieDomainList = ['.aws.amazon.com', 'abc.aws.amazon.com']
```

Você não pode usar sufixos públicos nessa lista. Por exemplo, você não pode usar `gov.au` ou `co.uk` como domínios de token na lista.

Os domínios que você especifica nessa lista devem ser compatíveis com seus outros domínios e configurações de domínio: 
+ Os domínios devem ser aqueles que AWS WAF aceitarão, com base no domínio do host protegido e na lista de domínios do token configurada para o pacote de proteção (Web ACL). Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists). 
+ Se você usa a API JavaScript CAPTCHA, pelo menos um domínio em sua chave de API CAPTCHA deve corresponder exatamente a um dos domínios de token `window.awsWafCookieDomainList` ou deve ser o domínio ápice de um desses domínios de token. 

  Por exemplo, para o domínio do token `mySubdomain.myApex.com`, a chave de API `mySubdomain.myApex.com` é uma correspondência exata e a chave de API `myApex.com` é o domínio apex. Qualquer chave corresponde ao domínio do token. 

  Para saber mais sobre as chaves de API, consulte [Como gerenciar chaves de API para a API JS CAPTCHA](waf-js-captcha-api-key.md). 

Se você usar o grupo de regras gerenciadas `AWSManagedRulesACFPRuleSet`, poderá configurar um domínio que corresponda ao do caminho de criação da conta que você forneceu para a configuração do grupo de regras. Para saber mais sobre essa configuração, consulte [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md).

Se você usar o grupo de regras gerenciadas `AWSManagedRulesATPRuleSet`, poderá configurar um domínio que corresponda ao do caminho de login que você forneceu para a configuração do grupo de regras. Para saber mais sobre essa configuração, consulte [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md).

# Usando a JavaScript API com políticas de segurança de conteúdo
<a name="waf-javascript-api-csp"></a>

Esta seção fornece um exemplo de configuração para permitir o domínio AWS WAF apex na lista de permissões.

Se você aplicar políticas de segurança de conteúdo (CSP) aos seus recursos, para que sua JavaScript implementação funcione, você precisa colocar o domínio AWS WAF apex na lista de permissões. `awswaf.com` Eles JavaScript SDKs fazem chamadas para AWS WAF endpoints diferentes, portanto, a lista de permissões desse domínio fornece as permissões SDKs necessárias para operar.

Veja a seguir um exemplo de configuração para permitir o domínio AWS WAF apex na lista de permissões: 

```
connect-src 'self' https://*.awswaf.com;
script-src 'self' https://*.awswaf.com;
script-src-elem 'self' https://*.awswaf.com;
```

Se você tentar usar o JavaScript SDKs com recursos que usam CSP e não tiver permitido o AWS WAF domínio, você receberá erros como os seguintes: 

```
Refused to load the script ...awswaf.com/<> because it violates the following Content Security Policy directive: “script-src ‘self’
```

# Usando a JavaScript API de ameaças inteligentes
<a name="waf-js-challenge-api"></a>

Esta seção fornece instruções para usar a JavaScript API de ameaças inteligentes em seu aplicativo cliente.

A ameaça inteligente APIs fornece operações para executar desafios silenciosos no navegador do usuário e para lidar com os AWS WAF tokens que comprovam o sucesso do desafio e das respostas CAPTCHA. 

Implemente a JavaScript integração primeiro em um ambiente de teste e depois na produção. Para obter orientações adicionais sobre codificação, consulte as seções a seguir. 

 

**Para usar a ameaça inteligente APIs**

1. **Instale o APIs** 

   Se você usar a API CAPTCHA, você poderá ignorar esta etapa. Quando você instala a API CAPTCHA, o script instala automaticamente a ameaça inteligente. APIs

   1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. No painel de navegação, escolha **Integração de aplicativos**. Na página **Integração de aplicativos**, você pode ver as opções com guias. 

   1. Selecione **Integração de ameaças inteligentes**

   1. Na guia, selecione o pacote de proteção (ACL da Web) com o qual você deseja fazer a integração. A lista de pacotes de proteção (web ACL) inclui somente pacotes de proteção (web ACLs) que usam o grupo de regras `AWSManagedRulesACFPRuleSet` gerenciadas, o grupo de regras `AWSManagedRulesATPRuleSet` gerenciadas ou o nível de proteção desejado do grupo de regras `AWSManagedRulesBotControlRuleSet` gerenciadas. 

   1. Abra o painel **JavaScript SDK** e copie a tag do script para usar em sua integração. 

   1. No código da página da aplicação, na seção `<head>`, insira a tag de script que você copiou para o pacote de proteção (ACL da Web). Essa inclusão faz com que seu aplicativo cliente recupere automaticamente um token em segundo plano no carregamento da página. 

      ```
      <head>
          <script type="text/javascript" src="protection pack (web ACL) integration URL/challenge.js” defer></script>
      <head>
      ```

      Essa lista `<script>` é configurada com o recurso `defer`, mas você pode alterar a configuração para `async` se quiser um comportamento diferente para sua página. 

1. **(Opcional) Adicionar configuração de domínio para os tokens do cliente** — Por padrão, ao AWS WAF criar um token, ele usa o domínio host do recurso associado ao pacote de proteção (Web ACL). Para fornecer domínios adicionais para o JavaScript APIs, siga as orientações em[Fornecimento de domínios para uso nos tokens](waf-js-challenge-api-set-token-domain.md). 

1. **Codificar sua integração de ameaças inteligentes**: escreva seu código para garantir que a recuperação do token seja concluída antes que o cliente envie suas solicitações para os endpoints protegidos. Se você já estiver usando a API `fetch` para fazer sua chamada, poderá substituir o wrapper de integração `fetch` do AWS WAF . Se você não usa a `fetch` API, pode usar a `getToken` operação de AWS WAF integração em vez disso. Para ver orientações de codificação, consulte as seções a seguir. 

1. **Adicionar verificação de token no pacote de proteção (ACL da Web)**: adicione pelo menos uma regra ao pacote de proteção (ACL da Web) que verifique se há um token de desafio válido nas solicitações da Web enviadas pelo seu cliente. Você pode usar grupos de regras que verificam e monitoram tokens de desafio, como o nível direcionado do grupo de regras gerenciadas do Controle de Bots, e você pode usar a ação de regra Challenge para verificar, conforme descrito em [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md). 

   As adições do pacote de proteção (ACL da Web) verificam se as solicitações aos endpoints protegidos incluem o token que você adquiriu na integração com o cliente. Solicitações que incluem um token válido e não expirado passam pela inspeção Challenge e não enviam outro desafio silencioso ao seu cliente. 

1. **(Opcional) Bloqueie solicitações sem tokens** — Se você usar o APIs com o grupo de regras gerenciadas do ACFP, o grupo de regras gerenciadas pelo ATP ou as regras específicas do grupo de regras do Bot Control, essas regras não bloquearão solicitações sem tokens. Para bloquear solicitações sem tokens, siga as orientações em [Bloqueio de solicitações que não têm um AWS WAF token válido](waf-tokens-block-missing-tokens.md). 

**Topics**
+ [

# Especificação da API de ameaças inteligentes
](waf-js-challenge-api-specification.md)
+ [

# Como usar o wrapper de integração `fetch`
](waf-js-challenge-api-fetch-wrapper.md)
+ [

# Como usar a integração `getToken`
](waf-js-challenge-api-get-token.md)

# Especificação da API de ameaças inteligentes
<a name="waf-js-challenge-api-specification"></a>

Esta seção lista a especificação dos métodos e propriedades da mitigação JavaScript APIs inteligente de ameaças. Use-os APIs para integrações inteligentes de ameaças e CAPTCHA.

**`AwsWafIntegration.fetch()`**  
Envia a `fetch` solicitação HTTP para o servidor usando a implementação da AWS WAF integração. 

**`AwsWafIntegration.getToken()`**  
Recupera o AWS WAF token armazenado e o armazena em um cookie na página atual com o nome `aws-waf-token` e o valor definido como o valor do token. 

**`AwsWafIntegration.hasToken()`**  
Retorna um booleano indicando se o cookie `aws-waf-token` atualmente contém um token não expirado. 

Se você também estiver usando a integração CAPTCHA, consulte a especificação para isso em [Especificação da API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

# Como usar o wrapper de integração `fetch`
<a name="waf-js-challenge-api-fetch-wrapper"></a>

Esta seção fornece instruções para usar o wrapper de integração `fetch`.

Você pode usar o AWS WAF `fetch` wrapper alterando suas `fetch` chamadas normais para a `fetch` API no `AwsWafIntegration` namespace. O AWS WAF wrapper suporta todas as mesmas opções da chamada de JavaScript `fetch` API padrão e adiciona o tratamento de tokens para a integração. Essa abordagem geralmente é a maneira mais simples de integrar seu aplicativo. 

**Antes da implementação do wrapper**  
A lista de exemplo a seguir mostra o código padrão antes de implementar o wrapper `fetch` de `AwsWafIntegration`.

```
const login_response = await fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

**Após a implementação do wrapper**  
A lista a seguir mostra o mesmo código com a implementação do wrapper `fetch` de `AwsWafIntegration`.

```
const login_response = await AwsWafIntegration.fetch(login_url, {
	    method: 'POST',
	    headers: {
	      'Content-Type': 'application/json'
	    },
	    body: login_body
	  });
```

# Como usar a integração `getToken`
<a name="waf-js-challenge-api-get-token"></a>

Esta seção explica como usar a operação `getToken`.

AWS WAF exige que suas solicitações para endpoints protegidos incluam o cookie nomeado `aws-waf-token` com o valor do seu token atual. 

A operação `getToken` é uma chamada de API assíncrona que recupera o token do AWS WAF e o armazena em um cookie na página atual com o nome `aws-waf-token` e o valor definido como o valor do token. Você pode usar esse cookie de token conforme necessário em sua página. 

Quando você chama `getToken`, ele faz o seguinte: 
+ Se um token não expirado já estiver disponível, a chamada o retornará imediatamente.
+ Caso contrário, a chamada recuperará um novo token do provedor do token, aguardando até 2 segundos para que o fluxo de trabalho de aquisição do token seja concluído antes do tempo limite. Se a operação atingir o tempo limite, ela gerará um erro, que seu código de chamada deve processar. 

A operação `getToken` tem uma operação `hasToken` complementar, que indica se o cookie `aws-waf-token` atualmente contém um token não expirado. 

`AwsWafIntegration.getToken()` recupera um token válido e o armazena como um cookie. A maioria das chamadas de clientes anexa automaticamente esse cookie, mas algumas não. Por exemplo, chamadas feitas em domínios de host não anexam o cookie. Nos detalhes de implementação a seguir, mostramos como trabalhar com os dois tipos de chamadas de clientes. 

**Implementação básica de `getToken`, para chamadas que anexam o cookie `aws-waf-token`**  
A lista de exemplo a seguir mostra o código padrão para implementar a operação `getToken` com uma solicitação de login.

```
const login_response = await AwsWafIntegration.getToken()
	    .catch(e => {
	        // Implement error handling logic for your use case
	    })
	    // The getToken call returns the token, and doesn't typically require special handling
	    .then(token => {
	        return loginToMyPage()
	    })
	
	async function loginToMyPage() {
	    // Your existing login code
	}
```

**Envie o formulário somente após o token estar disponível em `getToken`**  
A lista a seguir mostra como registrar um receptor de eventos para interceptar envios de formulários até que um token válido esteja disponível para uso. 

```
<body>
	  <h1>Login</h1>
	  <p></p>
	  <form id="login-form" action="/web/login" method="POST" enctype="application/x-www-form-urlencoded">
	    <label for="input_username">USERNAME</label>
	    <input type="text" name="input_username" id="input_username"><br>
	    <label for="input_password">PASSWORD</label>
	    <input type="password" name="input_password" id="input_password"><br>
	    <button type="submit">Submit<button>
	  </form>
	
	<script>
	  const form = document.querySelector("#login-form");
	
	  // Register an event listener to intercept form submissions
	  form.addEventListener("submit", (e) => {
	      // Submit the form only after a token is available 
	      if (!AwsWafIntegration.hasToken()) {
	          e.preventDefault();
	          AwsWafIntegration.getToken().then(() => {
	              e.target.submit();
	          }, (reason) => { console.log("Error:"+reason) });
	        }
	    });
	</script>
	</body>
```

**Como anexar o token quando seu cliente não anexa o cookie `aws-waf-token` por padrão**  
`AwsWafIntegration.getToken()` recupera um token válido e o armazena como um cookie, mas nem todas as chamadas de clientes anexam esse cookie por padrão. Por exemplo, chamadas feitas em domínios de host não anexam o cookie. 

O `fetch` wrapper trata esses casos automaticamente, mas se você não conseguir usar o `fetch` wrapper, poderá lidar com isso usando um cabeçalho personalizado`x-aws-waf-token`. AWS WAF lê os tokens desse cabeçalho, além de lê-los do `aws-waf-token` cookie. O código a seguir mostra um exemplo de configuração do cabeçalho. 

```
const token = await AwsWafIntegration.getToken();
const result = await fetch('/url', {
    headers: {
        'x-aws-waf-token': token,
    },
});
```

Por padrão, AWS WAF só aceita tokens que contenham o mesmo domínio do domínio host solicitado. Todos os tokens entre domínios exigem entradas correspondentes no pacote de proteção (ACL da Web) da lista de domínios do token. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists). 

Para obter informações adicionais sobre o uso de tokens entre domínios, consulte [aws-waf-bot-controlaws-samples/](https://github.com/aws-samples/aws-waf-bot-control-api-protection-with-captcha) -. api-protection-with-captcha

# Usando a API CAPTCHA JavaScript
<a name="waf-js-captcha-api"></a>

Esta seção fornece instruções para usar a API de integração CAPTCHA.

A JavaScript API CAPTCHA permite que você configure o quebra-cabeça CAPTCHA e o coloque onde quiser em seu aplicativo cliente. Essa API aproveita os recursos da ameaça inteligente JavaScript APIs para adquirir e usar AWS WAF tokens depois que um usuário final conclui com sucesso um quebra-cabeça de CAPTCHA. 

Implemente a JavaScript integração primeiro em um ambiente de teste e depois na produção. Para obter orientações adicionais sobre codificação, consulte as seções a seguir. 

**Para usar a API de integração CAPTCHA**

1. **Instale a API**

   1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

   1. No painel de navegação, escolha **Integração de aplicativos**. Na página **Integração de aplicativos**, você pode ver as opções com guias. 

   1. Selecione **Integração CAPTCHA**.

   1. Copie a tag do script de JavaScript integração listada para uso em sua integração.

   1. No código da página do aplicativo, na seção `<head>`, insira a tag de script que você copiou. Essa inclusão torna o quebra-cabeça CAPTCHA disponível para configuração e uso. 

      ```
      <head>
          <script type="text/javascript" src="integrationURL/jsapi.js" defer></script>
      </head>
      ```

      Essa lista `<script>` é configurada com o recurso `defer`, mas você pode alterar a configuração para `async` se quiser um comportamento diferente para sua página. 

      O script do CAPTCHA também carrega automaticamente o script de integração de ameaças inteligentes, caso ele ainda não esteja presente. O script de integração de ameaças inteligentes faz com que seu aplicativo cliente recupere automaticamente um token em segundo plano no carregamento da página e fornece outras funcionalidades de gerenciamento de tokens necessárias para o uso da API CAPTCHA. 

1. **(Opcional) Adicionar configuração de domínio para os tokens do cliente** — Por padrão, ao AWS WAF criar um token, ele usa o domínio host do recurso associado ao pacote de proteção (Web ACL). Para fornecer domínios adicionais para o JavaScript APIs, siga as orientações em[Fornecimento de domínios para uso nos tokens](waf-js-challenge-api-set-token-domain.md). 

1. **Obtenha a chave de API criptografada para o cliente** — A API CAPTCHA requer uma chave de API criptografada que contenha uma lista de domínios de clientes válidos. AWS WAF usa essa chave para verificar se o domínio do cliente que você está usando com a integração foi aprovado para usar AWS WAF CAPTCHA. Para gerar sua chave de API, siga as orientações em [Como gerenciar chaves de API para a API JS CAPTCHA](waf-js-captcha-api-key.md).

1. **Codificar a implementação do widget CAPTCHA**: implemente a chamada de API `renderCaptcha()` em sua página, no local em que você deseja usá-la. Para obter informações sobre como configurar e usar essa função, consulte as seguintes seções, [Especificação da API CAPTCHA JavaScript](waf-js-captcha-api-specification.md) e [Como renderizar o quebra-cabeça CAPTCHA](waf-js-captcha-api-render.md). 

   A implementação do CAPTCHA se integra à integração inteligente de ameaças APIs para gerenciamento de tokens e para executar chamadas de busca que usam os tokens. AWS WAF Para obter orientação sobre como usá-los APIs, consulte[Usando a JavaScript API de ameaças inteligentes](waf-js-challenge-api.md).

1. **Adicionar verificação de token ao pacote de proteção (ACL da Web)**: adicione pelo menos uma regra ao pacote de proteção (ACL da Web) que verifique se há um token de CAPTCHA válido nas solicitações da Web enviadas pelo cliente. Você pode usar a ação de regra CAPTCHA para verificar, conforme descrito em [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md). 

   As adições ao pacote de proteção (ACL da Web) verificam se as solicitações dirigidas aos endpoints protegidos incluem o token que você adquiriu na integração de cliente. Solicitações que incluem um token de CAPTCHA válido e não expirado passam pela inspeção de ação de regra CAPTCHA e não apresentam ao usuário final outro quebra-cabeça CAPTCHA. 

Depois de implementar a JavaScript API, você pode revisar as CloudWatch métricas das tentativas e soluções de quebra-cabeças do CAPTCHA. Para obter detalhes sobre métricas e dimensões, consulte [Métricas e dimensões da conta](waf-metrics.md#waf-metrics-account).

**Topics**
+ [

# Especificação da API CAPTCHA JavaScript
](waf-js-captcha-api-specification.md)
+ [

# Como renderizar o quebra-cabeça CAPTCHA
](waf-js-captcha-api-render.md)
+ [

# Manipulando uma resposta CAPTCHA de AWS WAF
](waf-js-captcha-api-conditional.md)
+ [

# Como gerenciar chaves de API para a API JS CAPTCHA
](waf-js-captcha-api-key.md)

# Especificação da API CAPTCHA JavaScript
<a name="waf-js-captcha-api-specification"></a>

Esta seção lista a especificação dos métodos e propriedades do CAPTCHA JavaScript APIs. Use o CAPTCHA JavaScript APIs para executar quebra-cabeças CAPTCHA personalizados em seus aplicativos cliente. 

Essa API se baseia na ameaça inteligente APIs, que você usa para configurar e gerenciar a aquisição e o uso de AWS WAF tokens. Consulte [Especificação da API de ameaças inteligentes](waf-js-challenge-api-specification.md).

**`AwsWafCaptcha.renderCaptcha(container, configuration)`**  
Apresenta um quebra-cabeça de AWS WAF CAPTCHA para o usuário final e, em caso de sucesso, atualiza o token do cliente com a validação do CAPTCHA. Ele está disponível apenas com a integração CAPTCHA. Use essa chamada junto com a ameaça inteligente APIs para gerenciar a recuperação do token e fornecer o token em suas `fetch` chamadas. Veja a ameaça inteligente APIs em[Especificação da API de ameaças inteligentes](waf-js-challenge-api-specification.md).  
Ao contrário do intersticial CAPTCHA que AWS WAF envia, o quebra-cabeça CAPTCHA renderizado por esse método exibe o quebra-cabeça imediatamente, sem uma tela de título inicial.     
**`container`**  
O objeto `Element` do elemento do contêiner de destino na página. Isso geralmente é recuperado chamando `document.getElementById()` ou `document.querySelector()`.  
Obrigatório: sim  
Tipo: `Element`  
**configuração**  
Um objeto contendo as configurações do CAPTCHA, da seguinte forma****:    
**`apiKey`**   
A chave de API criptografada que habilita permissões para o domínio do cliente. Use o console do AWS WAF para gerar suas chaves de API para seus domínios de clientes. Você pode usar uma chave para até cinco domínios. Para mais informações, consulte [Como gerenciar chaves de API para a API JS CAPTCHA](waf-js-captcha-api-key.md).   
Obrigatório: Sim  
Tipo: `string`  
**`onSuccess: (wafToken: string) => void;`**   
Chamado com um AWS WAF token válido quando o usuário final conclui com sucesso um quebra-cabeça de CAPTCHA. Use o token nas solicitações que você envia aos endpoints que você protege com um pacote de AWS WAF proteção (web ACL). O token fornece a prova e o timestamp da conclusão bem-sucedida do último quebra-cabeça.   
Obrigatório: Sim  
**`onError?: (error: CaptchaError) => void;`**   
Chamado com um objeto de erro quando ocorre um erro durante a operação CAPTCHA.   
Obrigatório: não  
**Definição de classe `CaptchaError`**: o manipulador `onError` fornece um tipo de erro com a seguinte definição de classe.   

```
CaptchaError extends Error {
    kind: "internal_error" | "network_error" | "token_error" | "client_error";
    statusCode?: number;
}
```
+ `kind`: o tipo de erro retornado. 
+ `statusCode`: o código de status do HTTP, se disponível. Isso é usado por `network_error` se o erro for devido a um erro no HTTP.  
**`onLoad?: () => void;`**   
Chamado quando um novo quebra-cabeça CAPTCHA é carregado.  
Obrigatório: não  
**`onPuzzleTimeout?: () => void;`**   
Chamado quando um quebra-cabeça CAPTCHA não é concluído antes de expirar.  
Obrigatório: não  
**`onPuzzleCorrect?: () => void;`**   
Chamado quando uma resposta correta é fornecida a um quebra-cabeça CAPTCHA.  
Obrigatório: não  
**`onPuzzleIncorrect?: () => void;`**   
Chamado quando uma resposta incorreta é fornecida a um quebra-cabeça CAPTCHA.  
Obrigatório: não  
**`defaultLocale`**   
A localidade padrão a ser usada para o quebra-cabeça CAPTCHA. As instruções escritas para quebra-cabeças CAPTCHA estão disponíveis em árabe (ar-SA), chinês simplificado (zh-CN), holandês (nl-NL), inglês (en-US), francês (fr-FR), alemão (de-DE), italiano (it-IT), japonês (ja-JP), português do Brasil (pt-BR), espanhol (es-ES) e turco (tr-TR). As instruções de áudio estão disponíveis para todos os idiomas escritos, exceto chinês e japonês, cujos padrões são o inglês. Para alterar o idioma padrão, forneça o idioma e o código de localidade internacionais, por exemplo, `ar-SA`.  
Padrão: o idioma atualmente em uso no navegador do usuário final  
Obrigatório: não  
Tipo: `string`  
**`disableLanguageSelector`**   
Se definido como `true`, o quebra-cabeça CAPTCHA oculta o seletor de idioma.   
Padrão: `false`  
Exigido: Não  
Tipo: `boolean`  
**`dynamicWidth`**   
Se definido como `true`, o quebra-cabeça CAPTCHA muda de largura para compatibilidade com a largura da janela do navegador.   
Padrão: `false`  
Exigido: Não  
Tipo: `boolean`  
**`skipTitle`**   
Se definido como `true`, o quebra-cabeça CAPTCHA não exibirá o título do quebra-cabeça **Resolva o quebra-cabeça**.   
Padrão: `false`  
Exigido: Não  
Tipo: `boolean`

# Como renderizar o quebra-cabeça CAPTCHA
<a name="waf-js-captcha-api-render"></a>

Esta seção fornece um exemplo de implementação `renderCaptcha`.

Você pode usar a AWS WAF `renderCaptcha` chamada onde quiser na interface do cliente. A chamada recupera um quebra-cabeça de CAPTCHA AWS WAF, o renderiza e envia os resultados para verificação. AWS WAF Ao fazer a chamada, você fornece a configuração de renderização do quebra-cabeça e os retornos de chamada que deseja executar quando os usuários finais concluírem o quebra-cabeça. Consulte a seção anterior, [Especificação da API CAPTCHA JavaScript](waf-js-captcha-api-specification.md), para detalhes sobre as opções.

Use essa chamada em conjunto com a funcionalidade de gerenciamento de tokens da integração APIs inteligente de ameaças. Essa chamada fornece ao seu cliente um token que verifica a conclusão bem-sucedida do quebra-cabeça CAPTCHA. Use a integração inteligente de ameaças APIs para gerenciar o token e fornecer o token nas chamadas do seu cliente para os endpoints protegidos com pacotes de AWS WAF proteção (web ACLs). Para obter informações sobre a ameaça inteligente APIs, consulte[Usando a JavaScript API de ameaças inteligentes](waf-js-challenge-api.md).

**Exemplos de implementação**  
A lista de exemplos a seguir mostra uma implementação padrão de CAPTCHA, incluindo o posicionamento da URL de AWS WAF integração na `<head>` seção. 

Essa listagem configura a `renderCaptcha` função com um retorno de chamada bem-sucedido que usa o `AwsWafIntegration.fetch` invólucro da integração inteligente de ameaças. APIs Para ter mais informações sobre essa função, consulte [Como usar o wrapper de integração `fetch`](waf-js-challenge-api-fetch-wrapper.md).

```
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>

<script type="text/javascript">
    function showMyCaptcha() {
        var container = document.querySelector("#my-captcha-container");
        
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            ...other configuration parameters as needed...
        });
    }
    
    function captchaExampleSuccessFunction(wafToken) {
        // Captcha completed. wafToken contains a valid WAF token. Store it for
        // use later or call AwsWafIntegration.fetch() to use it easily.
        // It will expire after a time, so calling AwsWafIntegration.getToken()
        // again is advised if the token is needed later on, outside of using the
        // fetch wrapper.
        
        // Use WAF token to access protected resources
        AwsWafIntegration.fetch("...WAF-protected URL...", {
            method: "POST",
            headers: {
                "Content-Type": "application/json",
            },
            body: "{ ... }" /* body content */
        });
    }
    
    function captchaExampleErrorFunction(error) {
        /* Do something with the error */
    }
</script>

<div id="my-captcha-container">
    <!-- The contents of this container will be replaced by the captcha widget -->
</div>
```

**Exemplo de definições de configuração**  
A lista de exemplo a seguir mostra o `renderCaptcha` com configurações não padrão para as opções de largura e o título. 

```
        AwsWafCaptcha.renderCaptcha(container, {
            apiKey: "...API key goes here...",
            onSuccess: captchaExampleSuccessFunction,
            onError: captchaExampleErrorFunction,
            dynamicWidth: true, 
            skipTitle: true
        });
```

Para obter informações completas sobre as opções de configuração, consulte [Especificação da API CAPTCHA JavaScript](waf-js-captcha-api-specification.md).

# Manipulando uma resposta CAPTCHA de AWS WAF
<a name="waf-js-captcha-api-conditional"></a>

Esta seção fornece um exemplo de como lidar com uma resposta CAPTCHA.

Uma AWS WAF regra com uma CAPTCHA ação encerra a avaliação de uma solicitação da web correspondente se a solicitação não tiver um token com um carimbo de data/hora CAPTCHA válido. Se a solicitação for uma `GET` text/html chamada, a CAPTCHA ação então serve ao cliente um intersticial com um quebra-cabeça de CAPTCHA. Quando você não integra a JavaScript API CAPTCHA, o intersticial executa o quebra-cabeça e, se o usuário final o resolver com sucesso, reenvia automaticamente a solicitação. 

Ao integrar a JavaScript API CAPTCHA e personalizar o tratamento do CAPTCHA, você precisa detectar a resposta de encerramento do CAPTCHA, fornecer seu CAPTCHA personalizado e, se o usuário final resolver o quebra-cabeça com sucesso, reenviar a solicitação web do cliente. 

O exemplo de código a seguir mostra como fazer isso. 

**nota**  
A resposta da AWS WAF CAPTCHA ação tem um código de status HTTP 405, que usamos para reconhecer a CAPTCHA resposta nesse código. Se seu endpoint protegido usa um código de status HTTP 405 para comunicar qualquer outro tipo de resposta para a mesma chamada, esse código de exemplo também renderizará um quebra-cabeça CAPTCHA para essas respostas. 

```
<!DOCTYPE html>
<html>
<head>
    <script type="text/javascript" src="<Integration URL>/jsapi.js" defer></script>
</head>
<body>
    <div id="my-captcha-box"></div>
    <div id="my-output-box"></div>

    <script type="text/javascript">
    async function loadData() {
        // Attempt to fetch a resource that's configured to trigger a CAPTCHA
        // action if the rule matches. The CAPTCHA response has status=HTTP 405.
        const result = await AwsWafIntegration.fetch("/protected-resource");

        // If the action was CAPTCHA, render the CAPTCHA and return

        // NOTE: If the endpoint you're calling in the fetch call responds with HTTP 405
        // as an expected response status code, then this check won't be able to tell the
        // difference between that and the CAPTCHA rule action response.

        if (result.status === 405) {
            const container = document.querySelector("#my-captcha-box");
            AwsWafCaptcha.renderCaptcha(container, {
                apiKey: "...API key goes here...",
                onSuccess() {
                    // Try loading again, now that there is a valid CAPTCHA token
                    loadData();
                },
            });
            return;
        }

        const container = document.querySelector("#my-output-box");
        const response = await result.text();
        container.innerHTML = response;
    }

    window.addEventListener("load", () => {
        loadData();
    });
    </script>
</body>
</html>
```

# Como gerenciar chaves de API para a API JS CAPTCHA
<a name="waf-js-captcha-api-key"></a>

Esta seção fornece instruções para gerar e excluir chaves de API.

Para integrar o AWS WAF CAPTCHA em um aplicativo cliente com a JavaScript API, você precisa da tag de integração da JavaScript API e da chave de API criptografada para o domínio do cliente em que deseja executar o quebra-cabeça do CAPTCHA. 

A integração do aplicativo CAPTCHA JavaScript usa as chaves de API criptografadas para verificar se o domínio do aplicativo cliente tem permissão para usar a API AWS WAF CAPTCHA. Ao chamar a API CAPTCHA do seu JavaScript cliente, você fornece uma chave de API com uma lista de domínios que inclui um domínio para o cliente atual. Você pode listar até 5 domínios em uma única chave criptografada. 

**Requisitos de chaves de API**  
A chave de API que você usa na integração do CAPTCHA deve conter um domínio que se aplique ao cliente em que você usa a chave. 
+ Se você especificar um `window.awsWafCookieDomainList` na integração de ameaças inteligentes do seu cliente, pelo menos um domínio em sua chave de API deverá corresponder exatamente a um dos domínios de token em `window.awsWafCookieDomainList` ou deverá ser o domínio apex de um desses domínios de token. 

  Por exemplo, para o domínio do token `mySubdomain.myApex.com`, a chave de API `mySubdomain.myApex.com` é uma correspondência exata e a chave de API `myApex.com` é o domínio apex. Qualquer chave corresponde ao domínio do token. 

  Para obter informações sobre a configuração da lista de domínios de tokens, consulte [Fornecimento de domínios para uso nos tokens](waf-js-challenge-api-set-token-domain.md).
+ Caso contrário, o domínio atual deverá estar contido na chave da API. O domínio atual é o domínio que você pode ver na barra de endereço do navegador. 

Os domínios que você usa devem ser aqueles que AWS WAF serão aceitos, com base no domínio de host protegido e na lista de domínios de token configurada para a Web ACL. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

**Como escolher a região da sua chave de API**  
AWS WAF pode gerar chaves de API CAPTCHA em qualquer região em que AWS WAF esteja disponível. 

Como regra geral, você deve usar a mesma região para a chave de API de CAPTCHA que usa para o pacote de proteção (ACL da Web). No entanto, se você espera um público global para um pacote de proteção regional (Web ACL), você pode obter uma tag de JavaScript integração CAPTCHA com escopo CloudFront e uma chave de API com escopo e usá-las com um pacote de proteção regional (Web ACL). CloudFront Essa abordagem permite que os clientes carreguem um código CAPTCHA da região mais próxima a eles, o que reduz a latência. 

As chaves da API CAPTCHA que têm como escopo regiões diferentes das CloudFront quais não são suportadas para uso em várias regiões. Elas só podem ser usadas na região para a qual estão previstas. 

**Para gerar uma chave de API para seus domínios de clientes**  
Para obter a URL de integração e gerar e recuperar as chaves de API por meio do console. 

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Integração de aplicativos**. 

1. No painel, **pacotes de proteção (web ACLs) que estão habilitados para integração de aplicativos**, selecione a região que você deseja usar para sua chave de API. Você também pode selecionar a região no painel de **Chaves de API** da guia de **Integração do CAPTCHA**.

1. Escolha a guia **Integração de CAPTCHA**. Essa guia fornece a tag de JavaScript integração CAPTCHA, que você pode usar em sua integração, e a lista de chaves de API. Ambos têm como escopo a região selecionada.

1. No painel **Chaves de API**, escolha **Gerar chave**. A caixa de diálogo de geração de chaves é exibida. 

1. Insira os domínios de cliente que você deseja incluir na chave. Você pode inserir até 5. Quando terminar, escolha **Gerar chave**. A interface retorna à guia de integração do CAPTCHA, onde sua nova chave está listada. 

   Depois de criada, uma chave de API é imutável. Se você precisar fazer alterações em uma chave, gere uma nova chave e use-a em vez disso. 

1. (Opcional) Copie a chave recém-gerada para uso em sua integração. 

Você também pode usar o REST APIs ou um idioma específico AWS SDKs para esse trabalho. As chamadas da API REST são [Criar APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateAPIKey.html) e [Listar APIKeys](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListAPIKeys.html). 

**Para excluir uma chave de API**  
Para excluir uma chave de API, você deve usar a API REST ou uma linguagem específica AWS SDKs. A chamada da API REST é [Delete APIKey](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteAPIKey.html). Você não pode usar o console para excluir uma chave. 

Depois de excluir uma chave, pode levar até 24 horas para AWS WAF proibir o uso da chave em todas as regiões. 

# AWS WAF integração de aplicativos móveis
<a name="waf-mobile-sdk"></a>

Esta seção apresenta o tópico do uso do AWS WAF celular SDKs para implementar a integração AWS WAF inteligente de ameaças SDKs para aplicativos móveis e de TV para Android e iOS. Para aplicativos de TV, SDKs eles são compatíveis com as principais plataformas de smart TV, incluindo Android TV e Apple TV.
+ Para aplicativos Android para celular e TV, o SDKs Work for Android API versão 23 (Android versão 6) e versões posteriores. Para obter informações sobre as versões do Android, consulte as [Notas de lançamento da plataforma de SDK](https://developer.android.com/tools/releases/platforms).
+ Para aplicativos móveis iOS, eles SDKs funcionam para iOS versão 13 e posterior. Para obter informações sobre as versões do iOS, consulte as [Notas de versão do iOS e iPadOS](https://developer.apple.com/documentation/ios-ipados-release-notes).
+ Para aplicativos da Apple TV, eles SDKs funcionam para tvOS versão 14 ou posterior. Para obter informações sobre as versões do tvOS, consulte [tvOS Release Notes](https://developer.apple.com/documentation/tvos-release-notes).

Com o AWS WAF SDK móvel, você pode gerenciar a autorização de tokens e incluir os tokens nas solicitações que você envia aos seus recursos protegidos. Ao usar o SDKs, você garante que essas chamadas de procedimento remoto feitas pelo seu cliente contenham um token válido. Além disso, quando essa integração está implementada nas páginas da aplicação, você pode implementar regras de mitigação no pacote de proteção (ACL da Web), como bloquear solicitações que não contenham um token válido.

Para acessar o celular SDKs, entre em contato com o suporte em [Contato AWS](https://aws.amazon.com/contact-us).

**nota**  
O AWS WAF celular SDKs não está disponível para personalização de CAPTCHA.

A abordagem básica para usar o SDK é criar um provedor de token usando um objeto de configuração e, em seguida, usar o provedor de token para recuperar tokens. AWS WAF Por padrão, o provedor de token inclui os tokens recuperados em suas solicitações da web para seu recurso protegido. 

Veja a seguir uma lista parcial de uma implementação de SDK, que mostra os principais componentes. Para obter mais exemplos detalhados, consulte [Exemplos de código para o SDK AWS WAF móvel](waf-mobile-sdk-coding-examples.md).

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
	let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
	let tokenProvider = WAFTokenProvider(configuration)
	let token = tokenProvider.getToken()
```

------
#### [ Android ]

```
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");
	String domainName = "Domain name";
	WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
	WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);
	WAFToken token = tokenProvider.getToken();
```

------

# Instalando o SDK AWS WAF móvel
<a name="waf-mobile-sdk-installing"></a>

Esta seção fornece instruções para instalar o SDK AWS WAF móvel.

Para acessar o celular SDKs, entre em contato com o suporte em [Contato AWS](https://aws.amazon.com/contact-us).

Implemente a integração com SDK móvel primeiro em um ambiente de teste e depois na produção.

**Para instalar o SDK AWS WAF móvel**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **Integração de aplicativos**. 

1. Na guia **Integrações de ameaças inteligentes**, faça o seguinte: 

   1. No painel **pacotes de proteção (web ACLs) que estão habilitados para integração de aplicativos**, localize o pacote de proteção (web ACL) com o qual você está se integrando. Copie e salve a URL da integração do pacote de proteção (ACL da Web) para uso em sua implementação. Você também pode obter esse URL por meio da chamada da API `GetWebACL`.

   1. Escolha o tipo e a versão do dispositivo móvel e, em seguida, escolha **Baixar**. Você pode escolher qualquer versão que desejar, mas recomendamos usar a versão mais recente. AWS WAF baixa o `zip` arquivo do seu dispositivo em seu local de download padrão.

1. Em seu ambiente de desenvolvimento de aplicativos, descompacte o arquivo em um local de trabalho de sua escolha. No diretório de nível superior do arquivo zip, localize e abra o `README`. Siga as instruções no `README` arquivo para instalar o SDK AWS WAF móvel para uso no código do seu aplicativo móvel. 

1. Programe seu aplicativo de acordo com as orientações nas seções a seguir.

# AWS WAF especificação de SDK móvel
<a name="waf-mobile-sdk-specification"></a>

Esta seção lista os objetos, as operações e as configurações de SDK para a versão mais recente disponível do SDK móvel do AWS WAF . Para obter informações detalhadas sobre como o provedor de token e as operações funcionam para as várias combinações de configurações, consulte [Como o SDK AWS WAF móvel funciona](waf-mobile-sdk-how-it-works.md). 

**`WAFToken`**  
Guarda uma AWS WAF ficha.    
**`getValue()`**  
Recupera a representação `String` de `WAFToken`. 

**`WAFTokenProvider`**  
Gerencia tokens em seu aplicativo móvel. Implemente isso usando um objeto `WAFConfiguration`.    
**`getToken()`**  
Se a atualização em segundo plano estiver ativada, isso retornará o token em cache. Se a atualização em segundo plano estiver desativada, isso fará uma chamada síncrona e bloqueadora AWS WAF para recuperar um novo token.   
**`loadTokenIntoProvider(WAFToken)`**  
Carrega o token especificado no `WAFTokenProvider`, substituindo qualquer token que o provedor estava gerenciando. O provedor do tokens assume a propriedade do novo token e se encarrega de atualizá-lo daqui para frente. Essa operação também atualiza o token no armazenamento de cookies, se `setTokenCookie` estiver habilitada no`WAFConfiguration`.  
**`onTokenReady(WAFTokenResultCallback)`**  
Instrui o provedor de token a atualizar o token e invocar o retorno de chamada fornecido quando um token ativo estiver pronto. O provedor do token invocará seu retorno de chamada em um thread em segundo plano quando o token estiver armazenado em cache e pronto. Chame isso quando seu aplicativo for carregado pela primeira vez e também quando ele voltar ao estado ativo. Para saber mais sobre como retornar a um estado ativo, consulte [Recuperação de um token após a inatividade do aplicativo](waf-mobile-sdk-how-it-works.md#waf-mobile-sdk-how-back-from-inactive).   
Para aplicativos Android ou iOS, você pode definir `WAFTokenResultCallback` para a operação que deseja que o provedor de token invoque quando um token solicitado estiver pronto. Sua implementação do `WAFTokenResultCallback` deve seguir os parâmetros `WAFToken`, `SdkError`. Para aplicativos iOS, você pode criar alternadamente uma função embutida.   
**`storeTokenInCookieStorage(WAFToken)`**  
Instrui o `WAFTokenProvider` a armazenar o AWS WAF token especificado no gerenciador de cookies do SDK. Por padrão, o token só é adicionado ao armazenamento de cookies quando é adquirido pela primeira vez e quando é atualizado. Se o aplicativo limpar o armazenamento de cookies compartilhado por qualquer motivo, o SDK não adicionará automaticamente o AWS WAF token de volta até a próxima atualização. 

**`WAFConfiguration`**  
Mantém a configuração para a implementação do `WAFTokenProvider`. Ao implementar isso, você fornece a URL de integração do pacote de proteção (ACL da Web), o nome de domínio a ser usado no token e todas as configurações não padrão que você deseja que o provedor de token use.   
A lista a seguir especifica as configurações que você pode gerenciar no objeto `WAFConfiguration`.    
**`applicationIntegrationUrl`**   
O URL de integração do aplicativo. Obtenha isso no AWS WAF console ou por meio da chamada de `getWebACL` API.  
Obrigatório: Sim  
Tipo: URL específico do aplicativo. Para iOS, consulte o [URL do iOS](https://developer.apple.com/documentation/foundation/url). Para Android, consulte o [URL do java.net](https://docs.oracle.com/javase/7/docs/api/java/net/URL.html).   
**`backgroundRefreshEnabled`**   
Indica se você deseja que o provedor de token atualize o token em segundo plano. Se você definir isso, o provedor de token atualizará seus tokens em segundo plano de acordo com as configurações que regem as atividades de atualização automática de tokens.   
Obrigatório: não  
Tipo: `Boolean`  
Valor padrão: `TRUE`  
**`domainName`**   
O domínio a ser usado no token, que é usado na aquisição e armazenamento de cookies. Por exemplo, `example.com` ou `aws.amazon.com`. Geralmente, esse é o domínio do host do seu recurso associado ao pacote de proteção (ACL da Web), para onde você enviará solicitações da Web. Para o grupo de regras gerenciadas do ACFP, `AWSManagedRulesACFPRuleSet`, geralmente será um único domínio que corresponde ao domínio no caminho de criação da conta que você forneceu na configuração do grupo de regras. Para o grupo de regras gerenciadas do ATP, `AWSManagedRulesATPRuleSet`, geralmente será um único domínio que corresponde ao domínio no caminho de login fornecido na configuração do grupo de regras.   
Não são permitidos sufixos públicos. Por exemplo, você não pode usar `gov.au` ou `co.uk` como domínio do token.  
O domínio deve ser aceito, com base no domínio do host protegido e na lista de domínios de tokens do pacote de proteção (web ACL). AWS WAF Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).  
Obrigatório: Sim  
Tipo: `String`   
**`maxErrorTokenRefreshDelayMsec`**   
O tempo máximo em milissegundos a se esperar antes de repetir uma atualização de token após uma tentativa malsucedida. Para cada repetição automática de uma tentativa malsucedida, ele adicionará um recuo exponencial até o tempo de atraso de entrada determinado. Esse valor é usado depois que a recuperação do token falhou e foi repetida `maxRetryCount` vezes.   
Obrigatório: não  
Tipo: `Integer`  
Valor padrão: `5000` (5 segundos)  
Valor mínimo permitido: `1` (1 milissegundo)  
Valor máximo permitido: `30000` (30 segundos)  
**`maxRetryCount`**   
O número máximo de novas tentativas a serem executadas com recuo exponencial quando um token é solicitado.   
Obrigatório: não  
Tipo: `Integer`  
Valor padrão: `Infinity`  
Valor mínimo permitido: `0`  
Valor máximo permitido: `100`  
**`setTokenCookie`**   
Indica se você deseja que o gerenciador de cookies do SDK adicione um cookie de token às suas solicitações.   
Com um valor `TRUE`:   
+ O gerenciador de cookies adiciona um cookie de token a qualquer solicitação cujo caminho esteja abaixo do caminho especificado em `tokenCookiePath`. 
+ A operação do `WAFTokenProvider` `loadTokenIntoProvider()` atualiza o token no armazenamento de cookies, além de carregá-lo no provedor do tokens.
Obrigatório: não  
Tipo: `Boolean`  
Valor padrão: `TRUE`  
**`tokenCookiePath`**   
Usado quando `setTokenCookie` é `TRUE`. Indica o caminho de nível superior em que você deseja que o gerenciador de cookies do SDK adicione um cookie de token. O gerente adiciona um cookie de token a todas as solicitações que você envia para esse caminho e para todos os caminhos secundários.   
Por exemplo, se você definir isso como `/web/login`, o gerenciador incluirá o cookie de token para tudo o que é enviado para `/web/login` e para qualquer um de seus caminhos secundários, como `/web/login/help`. Ele não inclui o token para solicitações enviadas para outros caminhos, como `/`, `/web` ou `/web/order`.   
Obrigatório: não  
Tipo: `String`  
Valor padrão: `/`  
**`tokenRefreshDelaySec`**   
Usado para atualização em segundo plano. O tempo máximo em segundos entre as atualizações do token em segundo plano.  
Obrigatório: não  
Tipo: `Integer`  
Valor padrão: `88`  
Valor mínimo permitido: `88`  
Valor máximo permitido: `300` (5 minutos)

## AWS WAF erros do SDK móvel
<a name="waf-mobile-sdk-errors"></a>

Esta seção lista os possíveis erros da versão atual do SDK AWS WAF móvel.

**`SdkError`**  
O tipo de erro retornado quando há falha na recuperação de um token. O SDK para Android e iOS têm os mesmos tipos de erro.  
O SDK AWS WAF móvel tem os seguintes tipos de erro:    
**`invalidChallenge`**  
Esse erro é retornado quando o servidor de tokens retorna dados de desafio inválidos ou o blob de resposta é alterado por um invasor.  
**`errorInvokingGetChallengeEndpoint`**  
Esse erro é retornado quando o servidor de token envia um código de resposta sem sucesso de volta ao cliente ou quando ocorre um erro de rede.  
**`invalidVerifyChallengeResponse`**  
Esse erro é retornado quando há um erro ao recuperar a resposta `aws-waf-token` de verificação do AWS WAF servidor ou quando a resposta do servidor foi adulterada.  
**`errorInvokingVerifyEndpoint`**  
Esse erro é retornado quando o cliente recebe uma resposta incorreta do AWS WAF servidor ou erro de rede ao verificar o desafio resolvido.  
**`internalError`**  
Esse erro é retornado em todos os outros erros que podem ocorrer no próprio SDK.

**`socketTimeoutException`**  
Esse erro geralmente é retornado ao encontrar erros de rede durante a recuperação do token.  
Isso pode ser causado por uma das seguintes situações:  
+ Baixa largura de banda da rede: confirme as configurações de conectividade de rede
+ URL de integração de aplicativos modificada: confirme se a URL de integração não foi modificada em relação ao que aparece no console AWS WAF 

# Como o SDK AWS WAF móvel funciona
<a name="waf-mobile-sdk-how-it-works"></a>

Esta seção explica como as classes, propriedades e operações do SDK AWS WAF móvel funcionam juntas.

O celular SDKs fornece um provedor de token configurável que você pode usar para recuperação e uso de tokens. O provedor do token verifica se as solicitações que você permite são de clientes legítimos. Ao enviar solicitações para os AWS recursos com os quais você protege AWS WAF, você inclui o token em um cookie para validar a solicitação. Você pode manipular o cookie do token manualmente ou fazer com que o provedor do token faça isso por você.

Esta seção aborda as interações entre as classes, propriedades e métodos incluídos no SDK móvel. Para obter a especificação do SDK, consulte [AWS WAF especificação de SDK móvel](waf-mobile-sdk-specification.md). 

## Recuperação e armazenamento em cache de tokens
<a name="waf-mobile-sdk-how-token-basics"></a>

Ao criar a instância do provedor de token em seu aplicativo móvel, você configura como deseja que ela gerencie os tokens e a recuperação de tokens. Sua principal opção é como manter tokens válidos e não expirados para uso nas solicitações da web do seu aplicativo:
+ **Atualização em segundo plano ativada**: esse é o padrão. O provedor de token atualiza automaticamente o token em segundo plano e o armazena em cache. Com a atualização em segundo plano ativada, quando você chama `getToken()`, a operação recupera o token em cache. 

  O provedor de token executa a atualização do token em intervalos configuráveis, para que um token não expirado esteja sempre disponível no cache enquanto o aplicativo estiver ativo. A atualização em segundo plano é pausada enquanto seu aplicativo está em um estado inativo. Para obter mais informações sobre isso, consulte [Recuperação de um token após a inatividade do aplicativo](#waf-mobile-sdk-how-back-from-inactive).
+ **Atualização em segundo plano desativada**: você pode desativar a atualização de tokens em segundo plano e, em seguida, recuperar tokens somente sob demanda. Os tokens recuperados sob demanda não são armazenados em cache e você pode recuperar mais de um, se quiser. Cada token é independente de qualquer outro que você recupere e cada um tem seu próprio timestamp que é usado para calcular a expiração.

  Você tem as seguintes opções para recuperação de token quando a atualização em segundo plano está desativada: 
  + **`getToken()`**— Quando você liga `getToken()` com a atualização em segundo plano desativada, a chamada recupera de forma síncrona um novo token de. AWS WAF Essa é uma chamada potencialmente bloqueadora que pode afetar a capacidade de resposta da aplicação se você a invocar no thread principal. 
  + **`onTokenReady(WAFTokenResultCallback)`**: essa chamada recupera de forma assíncrona um novo token e, em seguida, invoca o retorno de chamada do resultado fornecido em um thread em segundo plano quando um token está pronto. 

### Como o provedor de token tenta novamente recuperações de tokens com falha
<a name="waf-mobile-sdk-how-token-retrieval-retries"></a>

O provedor de token repete automaticamente a recuperação do token quando a recuperação falha. As novas tentativas são executadas inicialmente usando o recuo exponencial com um tempo de espera inicial de 100 ms. Para obter mais repetições de tentaivas exponenciais, consulte [Novas tentativas e recuo exponencial na AWS](https://docs.aws.amazon.com/general/latest/gr/api-retries.html).

Quando o número de novas tentativas atinge o `maxRetryCount` configurado, o provedor do token para de tentar ou passa a tentar a cada `maxErrorTokenRefreshDelayMsec` milissegundos, dependendo do tipo de recuperação do token: 
+ **`onTokenReady()`**: o provedor do token passa a esperar `maxErrorTokenRefreshDelayMsec` milissegundos entre as tentativas e continua tentando recuperar o token. 
+ **Atualização em segundo plano**: o provedor de token passa a esperar `maxErrorTokenRefreshDelayMsec` milissegundos entre as tentativas e continua tentando recuperar o token. 
+ **Chamadas `getToken()` sob demanda, quando a atualização em segundo plano está desativada**: o provedor de token para de tentar recuperar um token e retorna o valor do token anterior ou um valor nulo se não houver nenhum token anterior. 

## Cenários de nova tentativa de recuperação de tokens
<a name="waf-mobile-sdk-how-token-retrieval-retry-scenarios"></a>

Quando o provedor do tokens tenta recuperar um token, isso pode resultar em novas tentativas automáticas, dependendo de onde a recuperação do token falha no fluxo de aquisição do token. Esta seção lista os possíveis locais em que você pode ver uma nova tentativa automática.
+ **Obtendo ou verificando o AWS WAF Desafio por meio de /inputs ou /verify:**
  + Quando uma solicitação para obter e verificar uma AWS WAF contestação é feita e falha, isso pode resultar em uma nova tentativa automática.
  + Você pode observar novas tentativas automáticas acontecendo aqui junto com um erro de `socketTimeoutException`. Isso pode ter várias causas, incluindo:
    + Baixa largura de banda da rede: confirme as configurações de conectividade de rede
    + URL de integração de aplicativos modificada: confirme se a URL de integração não foi modificada em relação ao que aparece no console AWS WAF 
  + A contagem de repetições automáticas é configurável com a função `maxRetryCount()`.
+ **Atualizar o tokens:**
  + Quando uma solicitação para atualizar o token é feita por meio do manipulador de tokens, isso pode resultar em uma nova tentativa automática.
  + A contagem de repetições automáticas aqui é configurável com a função `maxRetryCount()`.

Uma configuração sem novas tentativas automáticas é possível por meio da definição de `maxRetryCount(0)`.

## Tempo de imunidade do token e atualização em plano de fundo
<a name="waf-mobile-sdk-how-token-immunity"></a>

O tempo de imunidade do token que você configura na Web ACL é independente do intervalo de atualização do token definido no SDK AWS WAF móvel. Quando você ativa a atualização em segundo plano, o SDK atualiza o token no intervalo que você especifica usando `tokenRefreshDelaySec()`. Isso pode resultar na existência simultânea de vários tokens válidos, dependendo do tempo de imunidade configurado.

Para evitar vários tokens válidos, desabilite a atualização em segundo plano e use a função `getToken()` para gerenciar o ciclo de vida do token em sua aplicação móvel.

## Recuperação de um token após a inatividade do aplicativo
<a name="waf-mobile-sdk-how-back-from-inactive"></a>

A atualização em segundo plano só é realizada enquanto seu aplicativo é considerado ativo para seu tipo de aplicativo: 
+ **iOS**: a atualização em segundo plano é realizada quando o aplicativo está em primeiro plano.
+ **Android**: a atualização em segundo plano é realizada quando o aplicativo não está fechado, seja em primeiro plano ou em segundo plano.

Se seu aplicativo permanecer em qualquer estado que não ofereça suporte à atualização em segundo plano por mais tempo do que os `tokenRefreshDelaySec` segundos configurados, o provedor de token pausará a atualização em segundo plano. Por exemplo, para um aplicativo iOS, se `tokenRefreshDelaySec` for 300 e o aplicativo fechar ou ficar em segundo plano por mais de 300 segundos, o provedor do token interromperá a atualização do token. Quando o aplicativo retorna ao estado ativo, o provedor de token reinicia automaticamente a atualização em segundo plano. 

Quando seu aplicativo voltar ao estado ativo, chame `onTokenReady()` para que você possa ser notificado quando o provedor do token tiver recuperado e armazenado em cache um novo token. Não chame `getToken()`, porque o cache pode ainda não conter um token válido e atual. 

## A URL de integração da aplicação
<a name="waf-mobile-sdk-application-integration-url"></a>

O URL de integração de aplicativos do SDK AWS WAF móvel aponta para uma Web ACL que você habilitou para integração de aplicativos. Essa URL encaminha as solicitações para o servidor de backend correto e as associa ao seu cliente. Ela não serve como um controle de segurança rígido, portanto, expor uma URL de integração não representa um risco de segurança.

Você pode modificar tecnicamente a URL de integração fornecida e ainda obter um token. No entanto, não recomendamos isso porque você pode perder a visibilidade das taxas de resolução de desafios ou encontrar falhas na recuperação de tokens com erros `socketTimeoutException`.

## Dependências
<a name="waf-mobile-sdk-dependencies"></a>

Cada SDK AWS WAF móvel disponível para download inclui um arquivo README que lista as dependências de sua versão específica do SDK. Consulte o README para ver as dependências da sua versão do SDK móvel.

## Ofuscação/ ProGuard (somente SDK para Android)
<a name="waf-mobile-sdk-obfuscation"></a>

Se você usa um produto de ofuscação ou minificação ProGuard, como o, talvez seja necessário excluir determinados namespaces para garantir que o SDK móvel funcione corretamente. Verifique o README da sua versão do SDK móvel para encontrar a lista de namespaces e regras de exclusão.

# Exemplos de código para o SDK AWS WAF móvel
<a name="waf-mobile-sdk-coding-examples"></a>

Esta seção fornece exemplos de código para uso do SDK móvel. 

## Inicialização do provedor de tokens e obtenção de tokens
<a name="waf-mobile-sdk-coding-basic"></a>

Você inicia sua instância do provedor de token usando um objeto de configuração. Em seguida, você pode recuperar tokens usando as operações disponíveis. Veja a seguir os componentes básicos do código necessário.

------
#### [ iOS ]

```
let url: URL = URL(string: "protection pack (web ACL) integration URL")!
let configuration = WAFConfiguration(applicationIntegrationUrl: url, domainName: "Domain name")
let tokenProvider = WAFTokenProvider(configuration)

//onTokenReady can be add as an observer for UIApplication.willEnterForegroundNotification
self.tokenProvider.onTokenReady() { token, error in
	if let token = token {
	//token available
	}

	if let error = error {
	//error occurred after exhausting all retries
	}
}

//getToken()
let token = tokenProvider.getToken()
```

------
#### [ Android ]

Exemplo de Java:

```
String applicationIntegrationURL = "protection pack (web ACL) integration URL";
//Or
URL applicationIntegrationURL = new URL("protection pack (web ACL) integration URL");

String domainName = "Domain name";

WAFConfiguration configuration = WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL).domainName(domainName).build();
WAFTokenProvider tokenProvider = new WAFTokenProvider(Application context, configuration);

// implement a token result callback
WAFTokenResultCallback callback = (wafToken, error) -> {
	if (wafToken != null) {
	// token available
	} else {  
	// error occurred in token refresh  
	}
};

// Add this callback to application creation or activity creation where token will be used
tokenProvider.onTokenReady(callback);

// Once you have token in token result callback
// if background refresh is enabled you can call getToken() from same tokenprovider object
// if background refresh is disabled you can directly call getToken()(blocking call) for new token
WAFToken token = tokenProvider.getToken();
```

Exemplo de Kotlin:

```
import com.amazonaws.waf.mobilesdk.token.WAFConfiguration
import com.amazonaws.waf.mobilesdk.token.WAFTokenProvider

private lateinit var wafConfiguration: WAFConfiguration
private lateinit var wafTokenProvider: WAFTokenProvider

private val WAF_INTEGRATION_URL = "protection pack (web ACL) integration URL"
private val WAF_DOMAIN_NAME = "Domain name"

fun initWaf() {
	// Initialize the tokenprovider instance
	val applicationIntegrationURL = URL(WAF_INTEGRATION_URL)
	wafConfiguration =
		WAFConfiguration.builder().applicationIntegrationURL(applicationIntegrationURL)
			.domainName(WAF_DOMAIN_NAME).backgroundRefreshEnabled(true).build()
	wafTokenProvider = WAFTokenProvider(getApplication(), wafConfiguration)
	
		// getToken from tokenprovider object
		println("WAF: "+ wafTokenProvider.token.value)
	
		// implement callback for where token will be used
		wafTokenProvider.onTokenReady {
			wafToken, sdkError ->
		run {
			println("WAF Token:" + wafToken.value)
		}
	}
}
```

------

## Permitindo que o SDK forneça o cookie de token em suas solicitações HTTP
<a name="waf-mobile-sdk-coding-auto-token-cookie"></a>

Se `setTokenCookie` é `TRUE`, o provedor de token inclui o cookie de token para você em suas solicitações da web para todos os locais no caminho especificado em `tokenCookiePath`. Por padrão, `setTokenCookie` é `TRUE` e `tokenCookiePath` é `/`. 

Você pode restringir o escopo das solicitações que incluem um cookie de token especificando o caminho do cookie de token, por exemplo, `/web/login`. Se você fizer isso, verifique se suas AWS WAF regras não inspecionam os tokens nas solicitações que você envia para outros caminhos. Ao usar o grupo de regras `AWSManagedRulesACFPRuleSet`, você configura os caminhos de registro e criação da conta, e o grupo de regras verifica os tokens nas solicitações enviadas para esses caminhos. Para saber mais, consulte [Adicionando o grupo de regras gerenciadas do ACFP à sua web ACL](waf-acfp-rg-using.md). Da mesma forma, ao usar o grupo de regras `AWSManagedRulesATPRuleSet`, você configura o caminho de login e o grupo de regras verifica os tokens nas solicitações enviadas para esse caminho. Para obter mais informações, consulte [Adicionar grupos de regras gerenciadas ao pacote de proteção (ACL da Web)](waf-atp-rg-using.md). 

------
#### [ iOS ]

Quando `setTokenCookie` é`TRUE`, o provedor de token armazena o AWS WAF token em um `HTTPCookieStorage.shared` e inclui automaticamente o cookie nas solicitações para o domínio que você especificou`WAFConfiguration`.

```
let request = URLRequest(url: URL(string: domainEndpointUrl)!)
//The token cookie is set automatically as cookie header
let task = URLSession.shared.dataTask(with: request) { data, urlResponse, error  in
}.resume()
```

------
#### [ Android ]

Quando `setTokenCookie` estiver`TRUE`, o provedor de token armazena o AWS WAF token em uma `CookieHandler` instância que é compartilhada em todo o aplicativo. O provedor de token inclui automaticamente o cookie nas solicitações para o domínio que você especificou em `WAFConfiguration`.

Exemplo de Java:

```
URL url = new URL("Domain name");
//The token cookie is set automatically as cookie header
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
connection.getResponseCode();
```

Exemplo de Kotlin:

```
val url = URL("Domain name")
//The token cookie is set automatically as cookie header
val connection = (url.openConnection() as HttpsURLConnection)
connection.responseCode
```

Se você já tiver a instância padrão `CookieHandler` inicializada, o provedor de token a usará para gerenciar cookies. Caso contrário, o provedor de token inicializará uma nova `CookieManager` instância com o AWS WAF token `CookiePolicy.ACCEPT_ORIGINAL_SERVER` e, em seguida, definirá essa nova instância como a instância padrão em`CookieHandler`.

O código a seguir mostra como o SDK inicializa o gerenciador e o manipulador de cookies quando eles não estão disponíveis no seu aplicativo. 

Exemplo de Java:

```
CookieManager cookieManager = (CookieManager) CookieHandler.getDefault();
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = new CookieManager();
	CookieHandler.setDefault(cookieManager);
}
```

Exemplo de Kotlin:

```
var cookieManager = CookieHandler.getDefault() as? CookieManager
if (cookieManager == null) {
	// Cookie manager is initialized with CookiePolicy.ACCEPT_ORIGINAL_SERVER
	cookieManager = CookieManager()
	CookieHandler.setDefault(cookieManager)
}
```

------

## Fornecimento manual do cookie de token em suas solicitações HTTP
<a name="waf-mobile-sdk-coding-manual-token-cookie"></a>

Se você definir `setTokenCookie` como `FALSE`, precisará fornecer o cookie de token manualmente, como um cabeçalho de solicitação HTTP de cookie, em suas solicitações para seu endpoint protegido. O código a seguir mostra como fazer isso.

------
#### [ iOS ]

```
var request = URLRequest(url: wafProtectedEndpoint)
request.setValue("aws-waf-token=token from token provider", forHTTPHeaderField: "Cookie")
request.httpShouldHandleCookies = true
URLSession.shared.dataTask(with: request) { data, response, error in }
```

------
#### [ Android ]

Exemplo de Java:

```
URL url = new URL("Domain name");
HttpsURLConnection connection = (HttpsURLConnection) url.openConnection();
String wafTokenCookie = "aws-waf-token=token from token provider";
connection.setRequestProperty("Cookie", wafTokenCookie);
connection.getInputStream();
```

Exemplo de Kotlin:

```
val url = URL("Domain name")
val connection = (url.openConnection() as HttpsURLConnection)
val wafTokenCookie = "aws-waf-token=token from token provider"
connection.setRequestProperty("Cookie", wafTokenCookie)
connection.inputStream
```

------

# CAPTCHAe Challenge em AWS WAF
<a name="waf-captcha-and-challenge"></a>

Esta seção explica como CAPTCHA e Challenge trabalha com AWS WAF.

Você pode configurar suas AWS WAF regras para executar uma Challenge ação CAPTCHA OR contra solicitações da web que correspondam aos critérios de inspeção da sua regra. Você também pode programar seus aplicativos JavaScript cliente para executar quebra-cabeças de CAPTCHA e desafios de navegador localmente. 

Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 
+ **CAPTCHA**: exige que o usuário final resolva um código CAPTCHA para provar que um ser humano está enviando a solicitação. Os quebra-cabeças CAPTCHA devem ser bastante fáceis e rápidos para os humanos concluírem com sucesso e difíceis para os computadores concluírem com sucesso ou aleatoriamente com qualquer taxa significativa de sucesso. 

  Nas regras de pacote de proteção (ACL da Web), o CAPTCHA normalmente é usado quando uma ação Block interrompe muitas solicitações legítimas, mas deixar todo o tráfego passar resultaria em níveis inaceitavelmente altos de solicitações indesejadas, como as geradas por bots. Para obter informações sobre o comportamento de ações de regras, consulte [Como as ações de regra CAPTCHA e Challenge do AWS WAF funcionam](waf-captcha-and-challenge-how-it-works.md).

  Você também pode programar uma implementação de quebra-cabeça CAPTCHA na integração do aplicativo cliente. APIs Ao fazer isso, você pode personalizar o comportamento e o posicionamento do código no aplicativo do seu cliente. Para saber mais, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). 
+ **Challenge**: executa um desafio silencioso que exige que a sessão do cliente verifique se é um navegador e não um bot. A verificação é executada em segundo plano sem envolver o usuário final. Essa é uma boa opção para verificar clientes que você suspeita serem inválidos sem afetar negativamente a experiência do usuário final com um quebra-cabeça CAPTCHA. Para obter informações sobre o comportamento de ações de regras, consulte [Como as ações de regra CAPTCHA e Challenge do AWS WAF funcionam](waf-captcha-and-challenge-how-it-works.md).

  A ação da Challenge regra é semelhante ao desafio executado pela integração inteligente de ameaças do cliente APIs, descrito em[Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md).

**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

Para obter descrições de todas as opções de ações de regras, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

**Topics**
+ [

# AWS WAF Quebra-cabeças CAPTCHA
](waf-captcha-puzzle.md)
+ [

# Como as ações de regra CAPTCHA e Challenge do AWS WAF funcionam
](waf-captcha-and-challenge-how-it-works.md)
+ [

# Práticas recomendadas para usar as ações CAPTCHA e Challenge
](waf-captcha-and-challenge-best-practices.md)

# AWS WAF Quebra-cabeças CAPTCHA
<a name="waf-captcha-puzzle"></a>

Esta seção explica os recursos e a funcionalidade do quebra-cabeça AWS WAF CAPTCHA.

AWS WAF fornece a funcionalidade CAPTCHA padrão que desafia os usuários a confirmar que são seres humanos. CAPTCHA significa teste de Turing público completamente automatizado para diferenciar computadores de humanos. Os quebra-cabeças CAPTCHA são projetados para verificar se um humano está enviando solicitações e para evitar atividades como captura de dados na web, preenchimento de credenciais e spam. Os códigos CAPTCHA não podem eliminar todas as solicitações indesejadas. Muitos códigos foram resolvidos usando machine learning e inteligência artificial. Em um esforço para contornar o CAPTCHA, algumas organizações complementam as técnicas automatizadas com a intervenção humana. Apesar disso, o CAPTCHA continua sendo uma ferramenta útil para evitar tráfego de bots menos sofisticado e aumentar os recursos necessários para operações em grande escala. 

AWS WAF gera aleatoriamente seus quebra-cabeças de CAPTCHA e os percorre para garantir que os usuários enfrentem desafios únicos. AWS WAF adiciona regularmente novos tipos e estilos de quebra-cabeças para permanecer eficaz contra as técnicas de automação. Além dos quebra-cabeças, o script AWS WAF CAPTCHA reúne dados sobre o cliente para garantir que a tarefa seja concluída por um humano e para evitar ataques repetidos. 

Cada quebra-cabeça CAPTCHA inclui um conjunto padrão de controles para o usuário final solicitar um novo quebra-cabeça, alternar entre quebra-cabeças de áudio e visuais, acessar instruções adicionais e enviar uma solução de quebra-cabeça. Todos os quebra-cabeças incluem suporte para leitores de tela, controles de teclado e cores contrastantes. 

Os quebra-cabeças AWS WAF CAPTCHA atendem aos requisitos das Diretrizes de Acessibilidade de Conteúdo da Web (WCAG). Para obter informações, consulte [Visão geral das Diretrizes de Acessibilidade de Conteúdo da Web (WCAG)](https://www.w3.org/WAI/standards-guidelines/wcag/) no site do World Wide Web Consortium (W3C).

**Topics**
+ [

# Compatibilidade com o idioma do código CAPTCHA
](waf-captcha-puzzle-language-support.md)
+ [

# Exemplos de códigos CAPTCHA
](waf-captcha-puzzle-examples.md)

# Compatibilidade com o idioma do código CAPTCHA
<a name="waf-captcha-puzzle-language-support"></a>

Esta seção lista quais idiomas são suportados nos quebra-cabeças AWS WAF CAPTCHA.

O código CAPTCHA começa com instruções escritas no idioma do navegador do cliente ou, se o idioma do navegador não for compatível, em inglês. O código fornece opções de idioma alternativo por meio de um menu suspenso.

O usuário pode alternar para as instruções de áudio selecionando o ícone do fone de ouvido na parte inferior da página. A versão em áudio do código fornece instruções faladas sobre o texto que o usuário deve digitar em uma caixa de texto, sobrepostas com ruído de fundo. 

A tabela a seguir lista os idiomas que você pode selecionar para as instruções escritas em um código CAPTCHA e o suporte de áudio para cada seleção. 


**AWS WAF Idiomas suportados pelo quebra-cabeça CAPTCHA**  

| Compatibilidade com instruções escritas | Código de localidade | Compatibilidade com instruções de áudio | 
| --- | --- | --- | 
|  Árabe  |  ar-SA  |  Árabe  | 
|  Chinês simplificado  |  zh-CN  |  Áudio em inglês  | 
|  Holandesa  |  nl-NL  |  Holandesa  | 
|  Inglês  |  en-US  |  Inglês  | 
|  Francesa  |  fr-FR  |  Francês  | 
|  Alemão  |  de-DE  |  Alemã  | 
|  Italiana  |  it-IT  |  Italiana  | 
|  Japonesa  |  ja-JP  |  Áudio em inglês  | 
|  Português do Brasil  |  pt-BR  |  Português do Brasil  | 
|  Espanhola  |  es-ES  |  Espanhola  | 
|  Turca  |  tr-TR  |  Turca  | 

# Exemplos de códigos CAPTCHA
<a name="waf-captcha-puzzle-examples"></a>

Um código CAPTCHA visual típico requer interação para mostrar que o usuário pode compreender e interagir com uma ou mais imagens. 

A captura de tela a seguir mostra um exemplo de código de grade de imagens. Esse código exige que você selecione todas as imagens na grade que incluem um tipo específico de objeto. 

![\[Uma tela contém o título “Vamos confirmar que você é humano” e o texto “Escolha todas as cadeiras”. Abaixo do texto, há uma grade de imagens de 3x3, algumas das quais contêm cadeiras e outras que contêm objetos que não são cadeiras, como camas e janelas. Na parte inferior da tela, há opções para carregar um quebra-cabeça diferente, ativar e desativar a caixa de informações, alternar para um quebra-cabeça de áudio e alterar o idioma. Também na parte inferior está o botão “Confirmar”.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/CAPTCHAPuzzleGrid.png)


Um código de áudio fornece ruído de fundo sobreposto a instruções faladas sobre o texto que o usuário deve digitar em uma caixa de texto.

A captura de tela a seguir mostra a tela da escolha do quebra-cabeça de áudio. 

![\[Uma tela contém o título “Resolva o quebra-cabeça” e o texto “Clique em reproduzir para ouvir as instruções”. Abaixo do texto, há uma imagem que mostra um botão Play. Abaixo da imagem está o texto “Alternar áudio do teclado: alt + espaço”. Abaixo está o título “Insira sua resposta” com uma caixa de entrada de texto abaixo. Uma caixa de informações aberta tem o texto “Resolva ouvindo a gravação e digitando sua resposta na caixa de texto”. Na parte inferior da tela, há opções para carregar um quebra-cabeça diferente, alternar a caixa de informações para dentro e para fora da vista e alternar para um quebra-cabeça visual. Também na parte inferior está o botão “Enviar”.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/CAPTCHAPuzzleAudio.png)




# Como as ações de regra CAPTCHA e Challenge do AWS WAF funcionam
<a name="waf-captcha-and-challenge-how-it-works"></a>

Esta seção explica como o CAPTCHA e o Challenge funcionam.

AWS WAF CAPTCHAe Challenge são ações de regras padrão, portanto, são relativamente fáceis de implementar. Para usar qualquer um deles, você cria os critérios de inspeção para sua regra que identificam as solicitações que você deseja inspecionar e, em seguida, especifica uma das duas ações da regra. Para obter informações gerais sobre as opções de ação de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

Além de implementar desafios silenciosos e quebra-cabeças de CAPTCHA do lado do servidor, você pode integrar desafios silenciosos em seus aplicativos clientes JavaScript iOS e Android e renderizar quebra-cabeças de CAPTCHA em seus clientes. JavaScript Essas integrações permitem que você forneça aos usuários finais um melhor desempenho e experiências de quebra-cabeça CAPTCHA, além de reduzir os custos associados ao uso das ações de regras e dos grupos de regras de mitigação de ameaças inteligentes. Para saber mais sobre essas opções, consulte [Integrações de aplicativos clientes em AWS WAF](waf-application-integration.md). Para obter informações sobre a definição de preço, consulte [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Topics**
+ [

# Comportamento de ações CAPTCHA e Challenge
](waf-captcha-and-challenge-actions.md)
+ [

# Ações CAPTCHA e Challenge nos logs e métricas
](waf-captcha-and-challenge-logs-metrics.md)

# Comportamento de ações CAPTCHA e Challenge
<a name="waf-captcha-and-challenge-actions"></a>

Esta seção explica o que as ações CAPTCHA e Challenge fazem.

Quando uma solicitação da web corresponde aos critérios de inspeção de uma regra CAPTCHA ou Challenge ação, AWS WAF determina como lidar com a solicitação de acordo com o estado do token e a configuração do tempo de imunidade. AWS WAF também considera se a solicitação pode lidar com o quebra-cabeça CAPTCHA ou com os intersticiais do script de desafio. Os scripts foram projetados para serem tratados como conteúdo HTML e só podem ser tratados adequadamente por um cliente que espera conteúdo HTML. 

**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

**Como a ação lida com a solicitação da web**  
AWS WAF aplica a Challenge ação CAPTCHA ou a uma solicitação da web da seguinte forma:
+ **Token válido** — AWS WAF trata isso de forma semelhante a uma Count ação. AWS WAF aplica todas as etiquetas e personalizações de solicitação que você configurou para a ação da regra e, em seguida, continua avaliando a solicitação usando as regras restantes no pacote de proteção (Web ACL). 
+ **Token ausente, inválido ou expirado** — AWS WAF interrompe a avaliação do pacote de proteção (Web ACL) da solicitação e impede que ela vá para o destino pretendido. 

  AWS WAF gera uma resposta que é enviada de volta ao cliente, de acordo com o tipo de ação da regra: 
  + **Challenge**: AWS WAF inclui o seguinte na resposta:
    + O cabeçalho `x-amzn-waf-action` com um valor de `challenge`.
**nota**  
Para aplicações Javascript em execução no navegador do cliente, esse cabeçalho está disponível somente no domínio da aplicação. O cabeçalho não está disponível para recuperação entre domínios. Para obter detalhes, consulte a seção a seguir.
    + Código de status do HTTP `202 Request Accepted`.
    + Se a solicitação contiver um `Accept` cabeçalho com um valor de`text/html`, a resposta incluirá um intersticial de JavaScript página com um script de desafio.
  + **CAPTCHA**— AWS WAF inclui o seguinte na resposta:
    + O cabeçalho `x-amzn-waf-action` com um valor de `captcha`.
**nota**  
Para aplicações Javascript em execução no navegador do cliente, esse cabeçalho está disponível somente no domínio da aplicação. O cabeçalho não está disponível para recuperação entre domínios. Para obter detalhes, consulte a seção a seguir.
    + Código de status do HTTP `405 Method Not Allowed`.
    + Se a solicitação contiver um `Accept` cabeçalho com um valor de`text/html`, a resposta incluirá um intersticial de JavaScript página com um script CAPTCHA. 

Para configurar a hora de expiração do token no nível do pacote de proteção (ACL da Web) ou da regra, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).

**Os cabeçalhos não estão disponíveis para JavaScript aplicativos executados no navegador do cliente**  
Quando AWS WAF responde a uma solicitação do cliente com um CAPTCHA ou uma resposta de desafio, ela não inclui cabeçalhos de compartilhamento de recursos de origem cruzada (CORS). Os cabeçalhos CORS são um conjunto de cabeçalhos de controle de acesso que informam ao navegador da Web do cliente quais domínios, métodos HTTP e cabeçalhos HTTP podem ser usados pelos aplicativos. JavaScript Sem os cabeçalhos CORS, os JavaScript aplicativos executados em um navegador cliente não têm acesso aos cabeçalhos HTTP e, portanto, não conseguem ler o `x-amzn-waf-action` cabeçalho fornecido nas respostas e. CAPTCHA Challenge 

**O que o desafio e as intersticiais CAPTCHA fazem**  
Quando uma intersticial de desafio é executada, depois que o cliente responde com sucesso, se ele ainda não tiver um token, a intersticial inicializa um para ele. Em seguida, ela atualiza o token com o timestamp de resolução do desafio.

Quando uma intersticial CAPTCHA é executada, se o cliente ainda não tiver um token, a intersticial CAPTCHA invoca primeiro o script de desafio para desafiar o navegador e inicializar o token. Em seguida, a intersticial executa seu quebra-cabeça CAPTCHA. Quando o usuário final conclui o quebra-cabeça com sucesso, a intersticial atualiza o token com o timestamp de resolução do CAPTCHA. 

Em ambos os casos, depois que o cliente responde com sucesso e o script atualiza o token, o script reenvia a solicitação web original usando o token atualizado. 

Você pode configurar como AWS WAF manipula os tokens. Para mais informações, consulte [Uso de tokens na mitigação AWS WAF inteligente de ameaças](waf-tokens.md).

# Ações CAPTCHA e Challenge nos logs e métricas
<a name="waf-captcha-and-challenge-logs-metrics"></a>

Esta seção explica como AWS WAF lida com o registro CAPTCHA e as métricas Challenge das ações e.

As ações CAPTCHA e Challenge podem ser de não encerramento, como Count, ou de encerramento, como Block. O resultado depende se a solicitação tem um token válido com um timestamp não expirado para o tipo de ação. 
+ **Token válido** — Quando a ação encontra um token válido e não bloqueia a solicitação, AWS WAF captura métricas e registros da seguinte forma:
  + Incrementa as métricas de `CaptchaRequests` e `RequestsWithValidCaptchaToken` ou `ChallengeRequests` e `RequestsWithValidChallengeToken`. 
  + Registra a correspondência como uma entrada `nonTerminatingMatchingRules` com ação de CAPTCHA ou Challenge. A lista a seguir mostra a seção de um log desse tipo de correspondência com a ação CAPTCHA.

    ```
        "nonTerminatingMatchingRules": [
        {
          "ruleId": "captcha-rule",
          "action": "CAPTCHA",
          "ruleMatchDetails": [],
          "captchaResponse": {
            "responseCode": 0,
            "solveTimestamp": 1632420429
          }
        }
      ]
    ```
+ **Token ausente, inválido ou expirado** — Quando a ação bloqueia a solicitação devido a um token ausente ou inválido, AWS WAF captura métricas e registros da seguinte forma:
  + Incrementa a métrica para `CaptchaRequests` ou `ChallengeRequests`. 
  + Registra a correspondência como uma entrada `CaptchaResponse` com código de status HTTP `405` ou como uma entrada `ChallengeResponse` com código de status HTTP `202`. O log indica se a solicitação não tinha o token ou tinha um timestamp expirado. O registro também indica se AWS WAF enviou uma página intersticial CAPTCHA para o cliente ou um desafio silencioso para o navegador do cliente. A lista a seguir mostra as seções de um log desse tipo de correspondência com a ação CAPTCHA.

    ```
        "terminatingRuleId": "captcha-rule",
        "terminatingRuleType": "REGULAR",
        "action": "CAPTCHA",
        "terminatingRuleMatchDetails": [],
        ...
        "responseCodeSent": 405,
        ...
        "captchaResponse": {
          "responseCode": 405,
          "solveTimestamp": 0,
          "failureReason": "TOKEN_MISSING"
        }
    ```

Para obter informações sobre os AWS WAF registros, consulte[Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

Para obter informações sobre AWS WAF métricas, consulte[AWS WAF métricas e dimensões](waf-metrics.md).

Para obter informações gerais sobre as opções de ação de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

**Solicitações sem token parecem aparecer duas vezes em registros e métricas**  
Com base no registro de logs [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md) e nas métricas descritas nesta seção, uma solicitação sem token geralmente será representada duas vezes nos registros e nas métricas. Isso ocorre porque a única solicitação pretendida é, na verdade, enviada duas vezes pelo cliente.
+ A primeira solicitação, sem token, recebe o registro de logs e o tratamento de métricas descritos acima para tokens ausentes, inválidos ou expirados. A ação CAPTCHA ou Challenge encerra essa primeira solicitação e, em seguida, responde ao cliente com um desafio silencioso ou um código CAPTCHA. 
+ O cliente avalia o desafio ou o código e, se o navegador do cliente ou o usuário final responder com sucesso, envia a solicitação pela segunda vez com o token recém-adquirido. Essa segunda solicitação recebe o registro de logs e o tratamento de métricas descritos acima para uma solicitação com um token válido. 

# Práticas recomendadas para usar as ações CAPTCHA e Challenge
<a name="waf-captcha-and-challenge-best-practices"></a>

Siga as orientações nesta seção para planejar e implementar o AWS WAF CAPTCHA ou o desafio.

**Planeje sua implementação de CAPTCHA e desafio**  
Determine onde colocar os quebra-cabeças CAPTCHA ou os desafios silenciosos com base no uso do seu site, na sensibilidade dos dados que você deseja proteger e no tipo de solicitação. Selecione as solicitações nas quais você aplicará o CAPTCHA para apresentar os quebra-cabeças conforme necessário, mas evite apresentá-los onde eles não seriam úteis e poderiam prejudicar a experiência do usuário. Use a Challenge ação para executar desafios silenciosos que tenham menos impacto no usuário final, mas ainda ajudem a verificar se a solicitação vem de um navegador JavaScript habilitado. 

Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 

**Decida onde executar quebra-cabeças CAPTCHA e desafios silenciosos em seus clientes**  
Identifique solicitações que você não quer que sejam afetadas pelo CAPTCHA, por exemplo, solicitações de CSS ou imagens. Use CAPTCHA somente quando necessário. Por exemplo, se você planeja fazer uma verificação de CAPTCHA no login e o usuário sempre é levado diretamente do login para outra tela, a exigência de uma verificação de CAPTCHA na segunda tela provavelmente não seria necessária e poderia prejudicar sua experiência de usuário final. 

Configure seu Challenge e CAPTCHA use para que AWS WAF só envie quebra-cabeças CAPTCHA e desafios silenciosos em resposta às solicitações. `GET` `text/html` Você não pode resolver o quebra-cabeça nem o desafio em resposta a solicitações `POST`, solicitações `OPTIONS` de comprovação do compartilhamento de recursos de origem cruzada (CORS) ou qualquer outro tipo de solicitação não `GET`. O comportamento do navegador para outros tipos de solicitação pode variar e talvez não consiga lidar com as intersticiais adequadamente. 

É possível que um cliente aceite HTML, mas ainda não consiga lidar com a intersticial do CAPTCHA ou desafio. Por exemplo, um widget em uma página da web com um iFrame pequeno pode aceitar HTML, mas não conseguir exibir um CAPTCHA ou processá-lo. Evite colocar as ações de regra para esses tipos de solicitações, da mesma forma que para solicitações que não aceitam HTML.

**Use CAPTCHA ou Challenge para verificar a aquisição prévia do token**  
Você pode usar as ações da regra somente para verificar a existência de um token válido, em locais onde usuários legítimos sempre devem ter um. Nessas situações, não importa se a solicitação pode lidar com as intersticiais. 

Por exemplo, se você implementar a API CAPTCHA do aplicativo JavaScript cliente e executar o quebra-cabeça CAPTCHA no cliente imediatamente antes de enviar a primeira solicitação ao seu endpoint protegido, sua primeira solicitação sempre deverá incluir um token válido tanto para o desafio quanto para o CAPTCHA. Para obter informações sobre a integração JavaScript do aplicativo cliente, consulte[AWS WAF JavaScript integrações](waf-javascript-api.md). 

Para essa situação, no pacote de proteção (ACL da Web), você pode adicionar uma regra que verifica a correspondência com a essa primeira chamada e configurá-la com a ação da regra Challenge ou CAPTCHA. Quando a regra coincide com um usuário final e um navegador legítimos, a ação encontrará um token válido e, portanto, não bloqueará a solicitação nem enviará um desafio ou um quebra-cabeça CAPTCHA em resposta. Para saber mais sobre como as ações de regra funcionam, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md).

**Proteja seus dados confidenciais não HTML com CAPTCHA e Challenge**  
Você pode usar CAPTCHA e Challenge proteções para dados confidenciais não HTML, por exemploAPIs, com a abordagem a seguir. 

1. Identifique as solicitações que recebem respostas em HTML e que são executadas próximas às solicitações de seus dados confidenciais que não sejam HTML. 

1. Escreva regras CAPTCHA ou Challenge que correspondam às solicitações de HTML e às solicitações de seus dados confidenciais. 

1. Ajuste as configurações de tempo de imunidade de CAPTCHA e Challenge para que, nas interações normais do usuário, os tokens que os clientes obtêm das solicitações de HTML estejam disponíveis e não expirem em suas solicitações de dados confidenciais. Para obter informações sobre ajustes, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).

Quando uma solicitação de seus dados confidenciais corresponder a uma regra CAPTCHA ou Challenge, ela não será bloqueada se o cliente ainda tiver um token válido do quebra-cabeça ou desafio anterior. Se o token não estiver disponível ou o timestamp expirar, a solicitação para acessar seus dados confidenciais falhará. Para saber mais sobre como as ações de regra funcionam, consulte [Comportamento de ações CAPTCHA e Challenge](waf-captcha-and-challenge-actions.md).

**Use CAPTCHA e Challenge para ajustar suas regras existentes**  
Revise suas regras existentes para ver se você deseja alterá-las ou adicioná-las. Veja a seguir alguns cenários comuns a serem considerados. 
+ Se você tem uma regra baseada em intervalos que bloqueia o tráfego, mas mantém o limite de intervalo relativamente alto para evitar o bloqueio de usuários legítimos, considere adicionar uma segunda regra baseada em intervalos após a regra de bloqueio. Dê à segunda regra um limite inferior ao da regra de bloqueio e defina a ação da regra como CAPTCHA ou Challenge. A regra de bloqueio ainda bloqueará solicitações que estão chegando com um intervalo muito alto, e a nova regra bloqueará a maior parte do tráfego automatizado a um intervalo ainda menor. Para obter mais informações sobre regras baseadas em intervalos, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md).
+ Se você tiver um grupo de regras gerenciadas que bloqueia solicitações, poderá mudar o comportamento de algumas ou de todas as regras de Block para CAPTCHA ou Challenge. Para fazer isso, na configuração do grupo de regras gerenciadas, substitua a configuração da ação da regra. Para obter mais informações sobre modificar ações de regra, consulte [Substituições de ações de regras de grupos de regras](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules). 

**Teste seu CAPTCHA e desafie as implementações antes de implantá-las**  
Quanto a todas as novas funcionalidades, siga as orientações em [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

Durante o teste, revise os requisitos de expiração do timestamp do token e defina as configurações de tempo de imunidade em nível de regra e web ACL para obter um bom equilíbrio entre controlar o acesso ao seu site e fornecer uma boa experiência aos seus clientes. Para mais informações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).

# Proteção de dados e registro do tráfego do pacote de AWS WAF proteção (Web ACL)
<a name="waf-data-protection-and-logging"></a>

Esta seção explica as opções de registro, coleta e proteção de dados que você pode usar com AWS WAF. As opções são as seguintes: 
+ **Registro em log**: você pode configurar o pacote de proteção (ACL da Web) para enviar logs do tráfego de solicitações da Web para um destino de registro em log de sua escolha. Você pode configurar a ocultação e a filtragem de campos para essa opção. O registro em log usa os dados disponíveis após a aplicação das configurações de proteção de dados. 

  Para obter mais informações sobre esta opção, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
+ **Amostragem de solicitações**: você pode configurar o pacote de proteção (ACL da Web) para obter amostras das solicitações da Web que ele avalia, para ter uma ideia do tipo de tráfego que a sua aplicação recebe. A amostragem de solicitações usa os dados que estão disponíveis após a aplicação das configurações de proteção de dados. 

  Para obter mais informações sobre esta opção, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 
+ **Amazon Security Lake**: você pode configurar o Security Lake para coletar dados do pacote de proteção (ACL da Web). O Security Lake coleta dados de registros e eventos de várias AWS fontes para normalização, análise e gerenciamento. O Security Lake coleta dados que estão disponíveis após a aplicação das configurações de proteção de dados. 

  Para obter informações sobre essa opção, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 

  AWS WAF não cobra pelo uso dessa opção. Para obter informações sobre preços, consulte [Preços do Security Lake](https://aws.amazon.com/security-lake/pricing/) e [Como os preços do Security Lake são determinados](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) no *Guia do usuário do Amazon Security Lake*.
+ **Proteção de dados**: você pode configurar proteções de dados para dados de tráfego da Web em dois níveis: 
  + **Proteção de dados para o pacote de proteção (ACL da Web)**: você pode configurar a proteção de dados para cada pacote de proteção (ACL da Web), o que permite substituir determinados dados de tráfego da Web por strings estáticas ou hash criptográfico. A proteção de dados nesse nível pode ser configurada centralmente e se aplica a todas as opções de registro em log e coleta de dados.

    Para obter mais informações sobre esta opção, consulte [Proteção de dados](data-protection-masking.md). 
  + **Ocultação e filtragem de registro em log**: apenas para registro em log, você pode configurar alguns dos dados de tráfego da Web para serem ocultados dos registros em log e pode filtrar os dados que são registrados. Essa opção é adicional a qualquer configuração de proteção de dados que você configurou e afeta somente os dados que são AWS WAF enviados para o destino de registro configurado. 

**Topics**
+ [

# Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)
](logging.md)
+ [

# Proteção de dados
](data-protection-masking.md)

# Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)
<a name="logging"></a>

Esta seção explica as opções de registro para seus pacotes de AWS WAF proteção (web ACLs). 

Você pode habilitar o registro em log para obter informações detalhadas sobre o tráfego que é analisado pela web ACL. As informações registradas incluem a hora em que AWS WAF recebeu uma solicitação da web do seu AWS recurso, informações detalhadas sobre a solicitação e detalhes sobre as regras às quais a solicitação correspondeu. Você pode enviar registros do pacote de proteção (web ACL) para um grupo de CloudWatch registros do Amazon Logs, um bucket do Amazon Simple Storage Service (Amazon S3) ou um stream de entrega do Amazon Data Firehose.

Além dos registros que você pode habilitar para seus pacotes de proteção (web ACLs), AWS também usa registros de serviços do tráfego de sites ou aplicativos processados por AWS WAF para fornecer suporte e proteger a segurança de AWS clientes e serviços.

**nota**  
A configuração de registro do pacote de proteção (Web ACL) afeta somente os AWS WAF registros. Em particular, a configuração de campos editados para registro de logs não tem impacto na amostragem de solicitações ou na coleta de dados do Security Lake. Você pode excluir campos da coleta ou amostragem configurando a proteção de dados do pacote de proteção (ACL da Web). A coleta de dados do Security Lake é configurada inteiramente pelo serviço Security Lake. 

**Topics**
+ [

# Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)
](logging-pricing.md)
+ [

# AWS WAF destinos de registro
](logging-destinations.md)
+ [

# Configurar registro em log para um pacote de proteção (ACL da Web)
](logging-management-configure.md)
+ [

# Encontrar os registros do pacote de proteção (ACL da Web)
](logging-management.md)
+ [

# Campos do log para tráfego do pacote de proteção (ACL da Web)
](logging-fields.md)
+ [

# Exemplos de log para tráfego do pacote de proteção (ACL da Web)
](logging-examples.md)

**Outras opções de coleta e análise de dados**  
Além do registro de logs, você pode ativar as seguintes opções para coleta e análise de dados: 
+ **Amazon Security Lake**: você pode configurar o Security Lake para coletar dados do pacote de proteção (ACL da Web). O Security Lake coleta dados de logs e de eventos de várias origens na para normalização, análise e gerenciamento. Para obter informações sobre essa opção, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 

  AWS WAF não cobra pelo uso dessa opção. Para obter informações sobre preços, consulte [Preços do Security Lake](https://aws.amazon.com/security-lake/pricing/) e [Como os preços do Security Lake são determinados](https://docs.aws.amazon.com/security-lake/latest/userguide/estimating-costs.html) no *Guia do usuário do Amazon Security Lake*. 
+ **Amostragem de solicitações**: você pode configurar o pacote de proteção (ACL da Web) para obter amostras das solicitações da Web que ele avalia, para ter uma ideia do tipo de tráfego que a sua aplicação recebe. Para obter mais informações sobre esta opção, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

# Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)
<a name="logging-pricing"></a>

Essa seção explica as considerações sobre preço do uso dos logs de tráfego do pacote de proteção (ACL da Web).

O registro em log das informações de tráfego do pacote de proteção (ACL da Web) é cobrado de acordo com os custos associados a cada tipo de destino de log. Essas cobranças são adicionais às cobranças de uso do AWS WAF. Seus custos podem variar dependendo de fatores como o tipo de destino escolhido e a quantidade de dados que você registra. 

Veja a seguir links para as informações de preços de cada tipo de destino de logs:
+ **CloudWatch Registros** — As cobranças são pela entrega de registros vendidos. Consulte os [preços do Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). Em **Nível pago**, escolha a guia **Registros** e, em **Vended Logs**, veja as informações de **Entrega para CloudWatch registros**.
+ **Buckets Amazon S3 — As** cobranças do Amazon S3 são as cobranças combinadas pela entrega de CloudWatch logs vendidos pelos Logs para os buckets do Amazon S3 e pelo uso do Amazon S3. 
  + Para o Amazon S3, consulte [Preços do Amazon S3](https://aws.amazon.com/s3/pricing/). 
  + Para entrega de CloudWatch registros vendidos pela Logs para o Amazon S3, consulte [ CloudWatch Amazon](https://aws.amazon.com/cloudwatch/pricing/) Logs Pricing. Em **Nível pago**, escolha a guia **Logs** e, em **Logs fornecidos**, veja as informações de **Entrega para o S3**.
+ **Firehose**: consulte [preços do Amazon Data Firehose](https://aws.amazon.com/kinesis/data-firehose/pricing/).

Para obter informações sobre AWS WAF preços, consulte [AWS WAF Preços](https://aws.amazon.com/waf/pricing/). 

# AWS WAF destinos de registro
<a name="logging-destinations"></a>

Esta seção descreve as opções de registro que você pode escolher para seus logs do AWS WAF . Cada seção fornece orientações para configurar os logs, incluindo informações sobre qualquer comportamento específico para o tipo de destino. Depois de configurar o destino do registro em log, você pode fornecer suas especificações para a configuração do registro em log do pacote de proteção (ACL da Web) para iniciar nele o registro em log.

**Topics**
+ [CloudWatch Registros](logging-cw-logs.md)
+ [Amazon S3](logging-s3.md)
+ [Firehose](logging-kinesis.md)

# Envio de registros de tráfego do pacote de proteção (web ACL) para um grupo de CloudWatch registros do Amazon Logs
<a name="logging-cw-logs"></a>

Este tópico fornece informações para enviar os registros de tráfego do pacote de proteção (web ACL) para um grupo de CloudWatch registros de registros. 

**nota**  
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte [Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)](logging-pricing.md).

Para enviar registros para o Amazon CloudWatch Logs, você cria um grupo de CloudWatch registros de registros. Ao ativar o login AWS WAF, você fornece o ARN do grupo de registros. Depois de habilitar o registro para seu pacote de proteção (web ACL), AWS WAF entrega os registros para o grupo de CloudWatch registros de registros em fluxos de registros. 

Ao usar o CloudWatch Logs, você pode explorar os registros do seu pacote de proteção (Web ACL) no AWS WAF console. Na página do pacote de proteção (ACL da Web), selecione a guia **Insights sobre registro em log**. Essa opção é um acréscimo aos insights de registro fornecidos para o CloudWatch Logs por meio do CloudWatch console. 

Configure o grupo de registros para registros do pacote de AWS WAF proteção (web ACL) na mesma região do pacote de proteção (web ACL) e usando a mesma conta que você usa para gerenciar o pacote de proteção (web ACL). Para obter informações sobre como configurar um grupo de CloudWatch registros, consulte Como [trabalhar com grupos de registros e fluxos de registros](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html).

## Cotas para grupos de CloudWatch registros de registros
<a name="logging-cw-logs-quotas"></a>

CloudWatch Os registros têm uma cota máxima padrão de taxa de transferência, compartilhada entre todos os grupos de registros em uma região, que você pode solicitar para aumentar. Se seus requisitos do registro de logs forem muito altos para as configurações atuais de throughput, você verá métricas de controle de utilização para `PutLogEvents` para sua conta. Para ver o limite no console Service Quotas e solicitar um aumento, consulte a cota de [CloudWatch registros PutLogEvents ](https://console.aws.amazon.com/servicequotas/home/services/logs/quotas/L-7E1FAE88).

## Nomenclatura de grupos de logs
<a name="logging-cw-logs-naming"></a>

Os nomes dos grupos de logs devem começar com `aws-waf-logs-` e terminar com qualquer sufixo que você quiser, por exemplo, `aws-waf-logs-testLogGroup2`.

O formato resultante do ARN é o seguinte: 

```
arn:aws:logs:Region:account-id:log-group:aws-waf-logs-log-group-suffix
```

Os fluxos de log têm o seguinte formato de nomenclatura: 

```
Region_web-acl-name_log-stream-number
```

O exemplo a seguir mostra um exemplo de fluxo de logs para o pacote de proteção (ACL da Web) `TestWebACL` na região `us-east-1`. 

```
us-east-1_TestWebACL_0
```

## Permissões necessárias para publicar registros no CloudWatch Logs
<a name="logging-cw-logs-permissions"></a>

Configurar o registro de tráfego do pacote de proteção (Web ACL) para um grupo de CloudWatch registros de registros requer as configurações de permissões descritas nesta seção. As permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso AWS WAF total, `AWSWAFConsoleFullAccess` ou`AWSWAFFullAccess`. Se você quiser gerenciar um acesso mais refinado ao seu registro e aos seus AWS WAF recursos, você mesmo pode definir as permissões. Para obter informações sobre o gerenciamento de permissões, consulte [Gerenciamento de acesso para AWS recursos](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*. Para obter informações sobre as políticas gerenciadas do AWS WAF , consulte [AWS políticas gerenciadas para AWS WAF](security-iam-awsmanpol.md). 

Essas permissões permitem que você altere a configuração de registro do pacote de proteção (Web ACL), configure a entrega de CloudWatch registros para registros e recupere informações sobre seu grupo de registros. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF. 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "wafv2:PutLoggingConfiguration",
                "wafv2:DeleteLoggingConfiguration"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow",
            "Sid": "LoggingConfigurationAPI"
        },
        {
            "Sid": "WebACLLoggingCWL",
            "Action": [
                "logs:CreateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:PutResourcePolicy",
                "logs:DescribeResourcePolicies",
                "logs:DescribeLogGroups"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}
```

------

Quando as ações são permitidas em todos os AWS recursos, isso é indicado na política com uma `"Resource"` configuração de`"*"`. Isso significa que as ações são permitidas em todos os AWS recursos *que cada ação suporta*. Por exemplo, a ação `wafv2:PutLoggingConfiguration` é suportada somente para `wafv2` registrar recursos de configuração. 

# Enviar logs de tráfego do pacote de proteção (ACL da Web) para um bucket do Amazon Simple Storage Service
<a name="logging-s3"></a>

Este tópico fornece informações sobre o envio dos logs de tráfego do pacote de proteção (ACL da Web) para um bucket do Amazon S3. 

**nota**  
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte [Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)](logging-pricing.md).

Para enviar os logs de tráfego do pacote de proteção (ACL da Web) para o Amazon S3, você configura um bucket do Amazon S3 na mesma conta que usa para gerenciar o pacote de proteção (ACL da Web) e atribui ao bucket um nome começando com `aws-waf-logs-`. Ao ativar o login AWS WAF, você fornece o nome do bucket. Para obter informações sobre como criar um bucket de log, consulte [Criar um bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/CreatingABucket.html), no *Guia do usuário do Amazon Simple Storage Service*.

Você pode acessar e analisar seus logs do Amazon S3 usando o serviço de consulta interativa do Amazon Athena. O Athena facilita analisar dados diretamente no Amazon S3 com o SQL padrão. Com algumas ações no Console de gerenciamento da AWS, você pode direcionar a Athena para os dados armazenados no Amazon S3 e começar rapidamente a usar o SQL padrão para executar consultas ad-hoc e obter resultados. Para obter mais informações, consulte Como [consultar AWS WAF registros no guia](https://docs.aws.amazon.com/athena/latest/ug/waf-logs.html) do usuário do *Amazon Athena*. Para exemplos adicionais de consultas do Amazon Athena, consulte [waf-log-sample-athenaaws-samples/](https://github.com/aws-samples/waf-log-sample-athena-queries) -queries no site. GitHub 

**nota**  
AWS WAF suporta criptografia com buckets Amazon S3 para o tipo de chave Amazon S3 (SSE-S3) e para (SSE-KMS). AWS Key Management Service AWS KMS keys AWS WAF não oferece suporte à criptografia para AWS Key Management Service chaves gerenciadas pelo AWS.

Os arquivos de log do pacote de proteção (ACL da Web) são publicados no bucket do Amazon S3 em intervalos de cinco minutos. Cada arquivo de log contém os registros de log de fluxo para o tráfego de IP registrado nos últimos cinco minutos.

O tamanho máximo de um arquivo de log é de 75 MB. Se o arquivo de log atingir o limite de tamanho no período de 5 minutos, o log para de adicionar registros de log de fluxo, publica o arquivo no bucket do Amazon S3 e cria um novo arquivo de log.

Os arquivos de log são compactados. Se você abrir os arquivos usando o console do Amazon S3, o Amazon S3 descompacta os registros de log e os exibe. Se você baixar os arquivos de log, será necessário descompactá-los para visualizar os registros de log de fluxo.

Um único arquivo de log contém entradas intercaladas com vários registros. Para ver todos os arquivos de log de um pacote de proteção (ACL da Web), procure as entradas agregadas pelo nome do pacote de proteção (ACL da Web), região e ID da sua conta.

## Requisitos de nomenclatura e sintaxe
<a name="logging-s3-naming"></a>

Os nomes de bucket para AWS WAF registro devem começar com `aws-waf-logs-` e terminar com qualquer sufixo que você quiser. Por exemplo, .`aws-waf-logs-LOGGING-BUCKET-SUFFIX` 

**Localização do bucket**  
Os locais do bucket usam a seguinte sintaxe: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/
```

**ARN do bucket**  
O formato do bucket do nome do recurso da Amazon (ARN) é o seguinte: 

```
arn:aws:s3:::aws-waf-logs-LOGGING-BUCKET-SUFFIX
```

**Localizações de buckets com prefixos**  
Se você usar prefixos no nome das chaves de objeto para organizar os dados que você armazena nos seus buckets, você pode fornecer seus prefixos nos nomes dos buckets de logs.

**nota**  
Essa opção não está disponível no console. Use o AWS WAF APIs, CLI ou. AWS CloudFormation

Para obter informações sobre o uso de prefixos no Amazon S3, consulte [Organização de objetos usando prefixos](https://docs.aws.amazon.com/AmazonS3/latest/userguide/using-prefixes.html) no *Guia do usuário do Amazon Simple Storage Service*. 

Os locais do bucket com prefixos usam a seguinte sintaxe: 

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/KEY-NAME-PREFIX/
```

**Pastas e nomes de arquivos do bucket**  
Dentro de seus buckets e seguindo os prefixos fornecidos por você, seus AWS WAF registros são gravados em uma estrutura de pastas determinada pelo ID da conta, pela região, pelo nome do pacote de proteção (Web ACL) e pela data e hora. 

```
AWSLogs/account-id/WAFLogs/Region/web-acl-name/YYYY/MM/dd/HH/mm
```

Dentro das pastas, os nomes dos arquivos de log seguem um formato semelhante: 

```
account-id_waflogs_Region_web-acl-name_timestamp_hash.log.gz
```

As especificações de hora usadas na estrutura de pastas e no nome do arquivo de log seguem a especificação de formato de timestamp `YYYYMMddTHHmmZ`.

Veja abaixo um exemplo de arquivo de log em um bucket do Amazon S3 para um bucket chamado `aws-waf-logs-LOGGING-BUCKET-SUFFIX`. O Conta da AWS é`11111111111`. O pacote de proteção (ACL da Web) é `TEST-WEBACL` e a região é`us-east-1`.

```
s3://aws-waf-logs-LOGGING-BUCKET-SUFFIX/AWSLogs/11111111111/WAFLogs/us-east-1/TEST-WEBACL/2021/10/28/19/50/11111111111_waflogs_us-east-1_TEST-WEBACL_20211028T1950Z_e0ca43b5.log.gz
```

**nota**  
Os nomes dos seus buckets para AWS WAF registro devem começar com `aws-waf-logs-` e terminar com qualquer sufixo que você quiser. 

## Permissões necessárias para publicar logs no Amazon S3
<a name="logging-s3-permissions"></a>

A configuração do registro em log de tráfego do pacote de proteção (ACL da Web) para um bucket do Amazon S3 requer as seguintes configurações de permissão. Essas permissões são definidas para você quando você usa uma das políticas gerenciadas de acesso total do AWS WAF , `AWSWAFConsoleFullAccess` ou `AWSWAFFullAccess`. Se você quiser gerenciar ainda mais o acesso ao seu registro e aos seus AWS WAF recursos, você mesmo pode definir essas permissões. Para obter informações sobre como gerenciar permissões, consulte [Gerenciamento de acesso a recursos da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*. Para obter informações sobre as políticas AWS WAF gerenciadas, consulte[AWS políticas gerenciadas para AWS WAF](security-iam-awsmanpol.md). 

As permissões a seguir permitem alterar a configuração do registro em log do pacote de proteção (ACL da Web) e configurar a entrega de logs para o bucket do Amazon S3. Essas permissões devem ser anexadas ao usuário que você usa para gerenciar o AWS WAF. 

**nota**  
Ao definir as permissões listadas abaixo, você pode ver erros em seus AWS CloudTrail registros que indicam acesso negado, mas as permissões estão corretas para o AWS WAF registro. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement":[
      {
         "Action":[
            "wafv2:PutLoggingConfiguration",
            "wafv2:DeleteLoggingConfiguration"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Sid":"LoggingConfigurationAPI"
      },
    {                                                                                                                                                                
       "Sid":"WebACLLogDelivery",                                                                                                                                    
       "Action":[                                                                                                                                                    
          "logs:CreateLogDelivery",                                                                                                                                  
          "logs:DeleteLogDelivery"                                                                                                                                   
       ],                                                                                                                                                            
       "Resource": "*",                                                                                                                                              
       "Effect":"Allow"                                                                                                                                              
    },  
      {
         "Sid":"WebACLLoggingS3",
         "Action":[
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy"
         ],
         "Resource": [
         "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
         ],
         "Effect":"Allow"
      }
   ]
}
```

------

Quando as ações são permitidas em todos os AWS recursos, isso é indicado na política com uma `"Resource"` configuração de`"*"`. Isso significa que as ações são permitidas em todos os AWS recursos *que cada ação suporta*. Por exemplo, a ação `wafv2:PutLoggingConfiguration` é suportada somente para `wafv2` registrar recursos de configuração. 

Por padrão, os buckets do Amazon S3 e os objetos que eles contêm são privados. Somente o proprietário do bucket pode acessá-los. No entanto, o proprietário do bucket pode conceder acesso a outros recursos e usuários por meio da criação de uma política de acesso.

Se o usuário que cria um log de fluxo possui o bucket, o serviço anexa automaticamente as políticas de bucket a seguir para conceder permissão ao log de fluxo para publicar logs nele: 

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AWSLogDeliveryWrite",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/123456789012/*",
      "Condition": {
        "StringEquals": {
          "s3:x-amz-acl": "bucket-owner-full-control",
          "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    },
    {
      "Sid": "AWSLogDeliveryAclCheck",
      "Effect": "Allow",
      "Principal": {
        "Service": "delivery.logs.amazonaws.com"
      },
      "Action": "s3:GetBucketAcl",
      "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
      "Condition": {
        "StringEquals": {
        "aws:SourceAccount": ["123456789012"]
        },
        "ArnLike": {
        "aws:SourceArn": ["arn:aws:logs:us-east-2:123456789012:*"]
        }
      }
    }
  ]
}
```

------

**nota**  
Os nomes dos seus buckets para AWS WAF registro devem começar com `aws-waf-logs-` e terminar com qualquer sufixo que você quiser. 

Se o usuário que cria o log não possui o bucket nem tem as permissões `GetBucketPolicy` e `PutBucketPolicy` para o bucket, ocorre uma falha na criação do log de fluxo. Nesse caso, o proprietário do bucket deve adicionar manualmente as políticas acima ao bucket e especificar o ID do Conta da AWS do criador do log. Para saber mais, consulte [Como adiciono uma política de bucket do S3?](https://docs.aws.amazon.com/AmazonS3/latest/userguide/add-bucket-policy.html) no *Guia do usuário do Amazon Simple Storage Service*. Se o bucket recebe logs de fluxo de várias contas, adicione uma entrada de elemento `Resource` à instrução de política `AWSLogDeliveryWrite` para cada conta. 

Por exemplo, a política de bucket a seguir Conta da AWS `111122223333` permite publicar registros em um bucket chamado`aws-waf-logs-LOGGING-BUCKET-SUFFIX`:

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryWrite20150319",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryWrite",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/AWSLogs/111122223333/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control",
                    "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                    "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        },
        {
            "Sid": "AWSLogDeliveryAclCheck",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
            "Condition": {
                "StringEquals": {
                "aws:SourceAccount": ["111122223333"]
                },
                "ArnLike": {
                "aws:SourceArn": ["arn:aws:logs:us-east-1:111122223333:*"]
                }
            }
        }
    ]
}
```

------

**nota**  
Em alguns casos, você poderá ver os erros `AccessDenied` em AWS CloudTrail se a permissão `s3:ListBucket`não tiver sido concedida a `delivery.logs.amazonaws.com`. Para evitar esses erros em seus CloudTrail registros, você deve conceder a `s3:ListBucket` permissão `delivery.logs.amazonaws.com` e incluir `Condition` os parâmetros mostrados com o conjunto de `s3:GetBucketAcl ` permissões na política de bucket anterior. Para simplificar, em vez de criar uma nova `Statement`, você pode atualizar `AWSLogDeliveryAclCheck` diretamente para `“Action”: [“s3:GetBucketAcl”, “s3:ListBucket”]`

## Permissões para uso AWS Key Management Service com uma chave KMS
<a name="logging-s3-permissions-encrypt-kms"></a>

Se seu destino de registro usa criptografia do lado do servidor com chaves armazenadas em AWS Key Management Service (SSE-KMS) e você usa uma chave gerenciada pelo cliente (chave KMS), você deve dar AWS WAF permissão para usar sua chave KMS. Para fazer isso, você adiciona uma política de chave à chave KMS do destino escolhido. Isso permite que os logs do AWS WAF gravem seus arquivos de log no seu destino. 

Adicione a seguinte política de chaves à sua chave KMS AWS WAF para permitir o login no seu bucket do Amazon S3.

```
{
    "Sid": "Allow AWS WAF to use the key",
    "Effect": "Allow",
    "Principal": {
        "Service": [
            "delivery.logs.amazonaws.com"
        ]
    },
    "Action": "kms:GenerateDataKey*",
    "Resource": "*"
}
```

## Permissões necessárias para acessar arquivos de log do Amazon S3
<a name="logging-s3-log-file-access"></a>

O Amazon S3 usa listas de controle de acesso (ACLs) para gerenciar o acesso aos arquivos de log criados por um AWS WAF log. Por padrão, o proprietário do bucket tem permissões `FULL_CONTROL` em cada arquivo de log. O proprietário da entrega de logs, se é diferente do proprietário do bucket, não tem nenhuma permissão. A conta de entrega de logs tem permissões `READ` e `WRITE`. Para saber mais, consulte [Visão geral da lista de controle de acesso (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) no *Guia do usuário do Amazon Simple Storage Service*.

# Enviar logs de tráfego do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose
<a name="logging-kinesis"></a>

Esta seção fornece informações para enviar os logs de tráfego do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose. 

**nota**  
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte [Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)](logging-pricing.md).

Para enviar logs para o Amazon Data Firehose, você envia os logs do pacote de proteção (ACL da Web) para um fluxo de entrega do Amazon Data Firehose configurado no Firehose. Depois de ativar o registro, AWS WAF entrega os registros ao seu destino de armazenamento por meio do endpoint HTTPS do Firehose. 

Um AWS WAF registro é equivalente a um registro do Firehose. Se você normalmente receber 10 000 solicitações por segundo e habilitar logs completos, deverá ter uma configuração de 10 000 registros por segundo no Firehose. Se você não configurar o Firehose corretamente, não AWS WAF gravará todos os registros. Para saber mais, consulte [Cotas do Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/limits.html). 

Para obter informações sobre como criar um fluxo de entrega do Amazon Data Firehose e revisar seus logs armazenados, consulte [O que é o Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html) 

Para obter mais informações sobre criar seu fluxo de entrega, consulte [Criar um fluxo de entrega do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Configurar um fluxo de entrega do Amazon Data Firehose para o pacote de proteção (ACL da Web)
<a name="logging-kinesis-configuration"></a>

Configure um fluxo de entrega do Amazon Data Firehose para o pacote de proteção (ACL da Web) da seguinte maneira.
+ Crie-o usando a mesma conta que você usa para gerenciar o pacote de proteção (ACL da Web).
+ Crie-o na mesma região do pacote de proteção (ACL da Web). Se você estiver capturando registros para a Amazon CloudFront, crie a mangueira de incêndio na região Leste dos EUA (Norte da Virgínia),. `us-east-1`
+ Dê ao data firehose um nome que comece com o prefixo `aws-waf-logs-`. Por exemplo, .`aws-waf-logs-us-east-2-analytics`
+ Configure-o para colocação direta, o que permite que os aplicativos acessem diretamente o fluxo de entrega. No [console do Amazon Data Firehose](https://console.aws.amazon.com/firehose), para a configuração **Fonte** do fluxo de entrega, escolha **Direct PUT ou outras fontes**. Por meio da API, defina a propriedade do fluxo de entrega `DeliveryStreamType` como `DirectPut`.
**nota**  
Não use um `Kinesis stream` como fonte.

## Permissões necessárias para publicar logs no fluxo de entrega do Amazon Data Firehose
<a name="logging-kinesis-permissions"></a>

Para entender as permissões necessárias para a configuração do Kinesis Data Firehose, consulte [Controlar o acesso com o Amazon Kinesis Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html).

Você deve ter as seguintes permissões para habilitar com sucesso o registro em log do pacote de proteção (ACL da Web) com um fluxo de entrega do Amazon Data Firehose.
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Para obter mais informações sobre funções vinculadas ao serviço e a permissão do `iam:CreateServiceLinkedRole`, consulte [Usando funções vinculadas a serviços para AWS WAF](using-service-linked-roles.md).

# Configurar registro em log para um pacote de proteção (ACL da Web)
<a name="logging-management-configure"></a>

Esta seção fornece instruções para configurar proteção de dados para um pacote de proteção (ACL da Web).

**nota**  
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte [Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)](logging-pricing.md).

Para habilitar o registro de log para um pacote de proteção (ACL da Web), você já deve ter configurado um destino do registro em log que será usado. Para obter informações sobre suas opções de destino e os requisitos de cada uma, consulte [AWS WAF destinos de registro](logging-destinations.md).

**Para configurar o registro em log para um pacote de proteção (ACL da Web)**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **pacotes de proteção (web ACLs)**.

1. Selecione o nome do pacote de proteção (ACL da Web) para o qual você deseja habilitar o registro em log. O console leva você para a descrição pacote de proteção (ACL da Web), onde poderá editá-la.

1. Na guia **Registro em log e métricas**, selecione **Habilitar registro em log**.

1. Escolha o tipo de destino de logs e, em seguida, escolha o destino de logs que você configurou. Você deve escolher um destino de registro em log cujo nome comece com `aws-waf-logs-`.

1. (Opcional) Se você não quiser que alguns campos sejam incluídos nos logs, edite-os. Selecione o campo para editar e, em seguida, selecione **Adicionar**. Repita conforme necessário para editar campos adicionais. Os campos ocultados aparecdm nos logs como `xxx`.
**nota**  
Essa configuração não impacta na amostragem da solicitação. Você pode excluir campos da amostragem de solicitações configurando a proteção de dados do pacote de proteção (ACL da Web) ou desabilitando a amostragem para o pacote de proteção (ACL da Web). 

1. (Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em **Filtrar logs**, para cada filtro que você deseja aplicar, escolha **Adicionar filtro**, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o **Comportamento de registro de logs padrão**. 
**nota**  
Se você adicionar vários filtros, AWS WAF avalie-os começando do topo.

1. Selecione **Habilitar registro em log**.
**nota**  
Quando você habilitar o registro com êxito, AWS WAF criará uma função vinculada ao serviço com as permissões necessárias para gravar registros no destino do registro. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS WAF](using-service-linked-roles.md).

# Encontrar os registros do pacote de proteção (ACL da Web)
<a name="logging-management"></a>

Esta seção explica como encontrar os registros do pacote de proteção (ACL da Web).

**nota**  
Você é cobrado pelo login, além das cobranças pelo uso do AWS WAF. Para mais informações, consulte [Preços para registrar em log informações de tráfego do pacote de proteção (ACL da Web)](logging-pricing.md).

**Se não for possível encontrar um registro em log em seus logs**  
Em raras ocasiões, é possível que a entrega de AWS WAF registros fique abaixo de 100%, com os registros entregues com base no melhor esforço. A AWS WAF arquitetura prioriza a segurança de seus aplicativos acima de todas as outras considerações. Em algumas situações, como quando os fluxos de registro em log sofrem controle de utilização de tráfego, isso pode resultar no descarte de registros. Isso não deve afetar mais do que alguns registros. Se você notar a ausência de diversas entradas de log, entre em contato com o [AWS Support Center](https://console.aws.amazon.com/support/home#/).

Na configuração de registro do seu pacote de proteção (Web ACL), você pode personalizar o que é AWS WAF enviado para os registros.
+ **Redação de campo**: você pode editar os seguintes campos dos registros de log para as regras que usam as configurações de correspondência correspondentes: **caminho do URI**, **string de consulta**, **cabeçalho único** e **método HTTP**. Os campos editados são exibidos como `REDACTED` nos logs. Por exemplo, se você editar o campo **String de consulta**, nos logs, ele será listado como `REDACTED` para todas as regras que usam a configuração de componente de correspondência **String de consulta**. A edição se aplica somente ao componente de solicitação que você especifica para correspondência na regra, portanto, a edição do componente **Cabeçalho único** não se aplica às regras que correspondem em **Cabeçalhos**. Para obter uma lista de campos de log, consulte [Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).
**nota**  
Essa configuração não impacta na amostragem da solicitação. Você pode excluir campos da amostragem de solicitações configurando a proteção de dados do pacote de proteção (ACL da Web) ou desabilitando a amostragem para o pacote de proteção (ACL da Web). 
+ **Filtragem de log**: você pode adicionar filtros para especificar quais solicitações da web são mantidas nos logs e quais são removidas. Você filtra as configurações que AWS WAF se aplicam durante a avaliação da solicitação da web. Você pode filtrar nas seguintes configurações: 
  + **Rótulos totalmente qualificados**: rótulos totalmente qualificados têm um prefixo, namespaces opcionais e nome de rótulo. O prefixo identifica o grupo de regras ou o contexto do pacote de proteção (ACL da Web) da regra que adicionou o rótulo. Para obter informações sobre rótulos, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).
  + **Ação de regra**: você pode filtrar por qualquer configuração de ação de regra normal e também pela opção de substituição antiga `EXCLUDED_AS_COUNT` para regras de grupos de regras. Para informações sobre as configurações de ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). Para obter informações sobre substituições de ações de regras atuais e antigas para regras de grupos de regras, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 
    + Os filtros normais de ação de regra se aplicam às ações configuradas nas regras e também às ações configuradas usando a opção atual para substituir uma ação de regra do grupo de regras. 
    + O filtro de log `EXCLUDED_AS_COUNT` se sobrepõe ao filtro de log de ação `Count`. `EXCLUDED_AS_COUNT` filtra as opções atuais e antigas para substituir uma ação de regra de grupo de regras para Count. 

# Campos do log para tráfego do pacote de proteção (ACL da Web)
<a name="logging-fields"></a>

A lista a seguir descreve os possíveis campos dos registros em log. 

**action**  
A ação de encerramento AWS WAF aplicada à solicitação. Isso indica permissão, bloqueio, CAPTCHA ou desafio. As ações CAPTCHA e Challenge são encerradas quando a solicitação da web não contém um token válido.

**args**  
A string de consulta.

**captchaResponse**  
O status da ação CAPTCHA da solicitação, preenchido quando uma ação CAPTCHA é aplicada à solicitação. Esse campo é preenchido para qualquer ação CAPTCHA, seja ela de encerramento ou não. Se uma solicitação tiver a ação CAPTCHA aplicada várias vezes, esse campo será preenchido a partir da última vez em que a ação foi aplicada.   
A ação CAPTCHA encerra a inspeção da solicitação da web quando a solicitação não inclui um token ou o token é inválido ou expirou. Se a ação CAPTCHA estiver sendo encerrada, esse campo incluirá um código de resposta e um motivo da falha. Se a ação não for finalizada, esse campo incluirá um timestamp de resolução. Para diferenciar entre uma ação de encerramento e uma ação de não encerramento, você pode filtrar por um atributo `failureReason` não vazio nesse campo.

**cfDistributionTenantIdentificação**  
O identificador do inquilino de CloudFront distribuição associado à solicitação da web. Esse campo é opcional e se aplica somente aos pacotes de proteção (web ACLs) associados aos locatários CloudFront de distribuição.

**challengeResponse**  
O status da ação de desafio da solicitação, preenchido quando uma ação Challenge é aplicada à solicitação. Esse campo é preenchido para qualquer ação Challenge, seja ela de encerramento ou não. Se uma solicitação tiver a ação Challenge aplicada várias vezes, esse campo será preenchido a partir da última vez em que a ação foi aplicada.   
A ação Challenge encerra a inspeção da solicitação da web quando a solicitação não inclui um token ou o token é inválido ou expirou. Se a ação Challenge estiver sendo encerrada, esse campo incluirá um código de resposta e um motivo da falha. Se a ação não for finalizada, esse campo incluirá um timestamp de resolução. Para diferenciar entre uma ação de encerramento e uma ação de não encerramento, você pode filtrar por um atributo `failureReason` não vazio nesse campo.

**clientAsn**  
O número de sistema autônomo (ASN) associado ao endereço IP da origem da solicitação da Web.  
**ClientASN** é registrado nos AWS WAF registros somente quando uma instrução de correspondência de ASN é usada. Caso contrário, esse campo é será registrado em log.

**clientIp**  
O endereço IP do cliente que está enviando a solicitação.

**país**  
O país de origem da solicitação. Se não AWS WAF for possível determinar o país de origem, ele definirá esse campo como`-`. 

**país**  
O país de origem da solicitação. Se não AWS WAF for possível determinar o país de origem, ele definirá esse campo como`-`. 

**excludedRules**  
Usado somente para regras de grupo de regras. A lista de regras no grupo de regras que você excluiu. A ação para essas regras é definida como Count.   
Se você substituir uma regra para contar usando a opção de ação de substituição da regra, as correspondências não serão listadas aqui. Elas estão listadas como pares de ação `action` e `overriddenAction`.    
exclusionType  
Um tipo que indica que a regra excluída tem a ação Count.  
ruleId  
O ID da regra no grupo de regras que foi excluída.

**formatVersion**  
A versão do formato do log.

**forwardedAsn**  
O número de sistema autônomo (ASN) associado ao endereço IP da entidade que encaminhou a solicitação da Web.

**headers**  
A lista de cabeçalhos.

**httpMethod**  
O método HTTP na solicitação.

**httpRequest**  
Os metadados sobre a solicitação.

**httpSourceId**  
O identificador do recurso associado:   
+ Para uma CloudFront distribuição da Amazon, o ID está `distribution-id` na sintaxe do ARN: 

  `arn:partitioncloudfront::account-id:distribution/distribution-id` 
+ Para um Application Load Balancer, o ID é o `load-balancer-id` na sintaxe do ARN: 

  `arn:partition:elasticloadbalancing:region:account-id:loadbalancer/app/load-balancer-name/load-balancer-id`
+ Para uma API REST do Amazon API Gateway, o ID é o `api-id` na sintaxe do ARN: 

  `arn:partition:apigateway:region::/restapis/api-id/stages/stage-name`
+ Para uma API do AWS AppSync GraphQL, o ID está `GraphQLApiId` na sintaxe do ARN: 

  `arn:partition:appsync:region:account-id:apis/GraphQLApiId`
+ Para um grupo de usuários do Amazon Cognito, o ID é o `user-pool-id` na sintaxe do ARN: 

  `arn:partition:cognito-idp:region:account-id:userpool/user-pool-id`
+ Para um AWS App Runner serviço, o ID está `apprunner-service-id` na sintaxe do ARN: 

  `arn:partition:apprunner:region:account-id:service/apprunner-service-name/apprunner-service-id`

**httpSourceName**  
A origem da solicitação. Valores possíveis: `CF` para Amazon CloudFront, `APIGW` Amazon API Gateway, `ALB` Application Load Balancer, `APPSYNC` Amazon Cognito AWS AppSync`APPRUNNER`, `COGNITOIDP` App Runner e Verified Access. `VERIFIED_ACCESS`

**httpVersion**  
A versão HTTP.

**ja3Fingerprint**  
A JA3 impressão digital da solicitação.  
JA3 a inspeção de impressão digital está disponível somente para CloudFront distribuições da Amazon e Application Load Balancers.
A JA3 impressão digital é um hash de 32 caracteres derivado do TLS Client Hello de uma solicitação recebida. Essa impressão digital serve como um identificador exclusivo para a configuração TLS do cliente. AWS WAF calcula e registra essa impressão digital para cada solicitação que tenha informações suficientes do TLS Client Hello para o cálculo.   
Você fornece esse valor ao configurar uma correspondência de JA3 impressão digital nas regras do pacote de proteção (Web ACL). Para obter informações sobre como criar uma correspondência com a JA3 impressão digital, consulte [JA3 impressão digital](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja3-fingerprint) [Solicitar componentes em AWS WAF](waf-rule-statement-fields-list.md) para obter uma declaração de regra.

**ja4Fingerprint**  
A JA4 impressão digital da solicitação.  
JA4 a inspeção de impressão digital está disponível somente para CloudFront distribuições da Amazon e Application Load Balancers.
A JA4 impressão digital é um hash de 36 caracteres derivado do TLS Client Hello de uma solicitação recebida. Essa impressão digital serve como um identificador exclusivo para a configuração TLS do cliente. AWS WAF calcula e registra essa impressão digital para cada solicitação que tenha informações suficientes do TLS Client Hello para o cálculo.   
Você fornece esse valor ao configurar uma correspondência de JA4 impressão digital nas regras do pacote de proteção (Web ACL). Para obter informações sobre como criar uma correspondência com a JA4 impressão digital, consulte [JA4 impressão digital](waf-rule-statement-fields-list.md#waf-rule-statement-request-component-ja4-fingerprint) [Solicitar componentes em AWS WAF](waf-rule-statement-fields-list.md) para obter uma declaração de regra.

**rótulos**  
Os rótulos na solicitação da web. Esses rótulos foram aplicados por regras usadas para avaliar a solicitação. AWS WAF registra os primeiros 100 rótulos. 

**nonTerminatingMatchingRegras**  
A lista de regras que não são de encerramento que correspondem à solicitação. Cada item na lista contém as seguintes informações.     
action  
A ação AWS WAF aplicada à solicitação. Isso indica contagem, CAPTCHA ou desafio. O CAPTCHA e o Challenge são de não encerramento quando a solicitação da web contém um token válido.  
ruleId  
O ID da regra que correspondeu à solicitação e que não era de encerramento.   
ruleMatchDetails  
Informações detalhadas sobre a regra que correspondeu à solicitação. Isso é preenchido somente para instruções de regra de correspondência de injeção de SQL e cross-site scripting (XSS). Uma regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência. 
Qualquer informação adicional fornecida para cada regra varia de acordo com fatores como a configuração da regra, o tipo de correspondência da regra e os detalhes da correspondência. Por exemplo, para regras com uma ação CAPTCHA ou Challenge, o `captchaResponse` ou `challengeResponse` será listado. Se a regra correspondente estiver em um grupo de regras e você tiver substituído a ação de regra configurada, a ação configurada será fornecida em `overriddenAction`. 

**oversizeFields**  
A lista de campos na solicitação da web que foram inspecionados pelo pacote de proteção (ACL da web) e que estão acima do limite de AWS WAF inspeção. Se um campo for muito grande, mas o pacote de proteção (ACL da Web) não o inspecionar, ele não será listado aqui.   
Essa lista pode conter zero ou mais dos seguintes valores: `REQUEST_BODY`, `REQUEST_JSON_BODY`, `REQUEST_HEADERS` e `REQUEST_COOKIES`. Para saber mais sobre os campos de tamanho acima do limite, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md).

**rateBasedRuleLista**  
A lista de regras baseadas em taxas que agiram na solicitação. Para obter mais informações sobre regras baseadas em intervalos, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md).    
rateBasedRuleIdentificação  
O ID da regra baseada em taxa que agiu na solicitação. Se isso encerrou a solicitação, o ID para `rateBasedRuleId` será o mesmo que o ID para `terminatingRuleId`.  
rateBasedRuleNome  
O ID da regra baseada em intervalos que agiu na solicitação.   
limitKey  
O tipo de agregação que a regra está usando. Os valores possíveis são `IP` para a origem da solicitação da web, `FORWARDED_IP` para um IP encaminhado em um cabeçalho na solicitação, `CUSTOMKEYS` para configurações personalizadas de chave agregada e `CONSTANT` para contar todas as solicitações juntas, sem agregação.   
limitValue  
Usado somente quando o intervalo é limitado por um único tipo de endereço IP. Se uma solicitação contiver um endereço IP que não seja válido, o `limitvalue` é `INVALID`.  
maxRateAllowed  
O número máximo de solicitações permitidas na janela de tempo especificada para uma instância de agregação específica. A instância de agregação é definida pelo `limitKey` mais quaisquer especificações de chave adicionais que você forneceu na configuração da regra baseada em intervalos.   
evaluationWindowSec  
A quantidade de tempo AWS WAF incluída em sua solicitação é contabilizada, em segundos.   
customValues  
Valores exclusivos identificados pela regra baseada em intervalos na solicitação. Para valores de string, os registros imprimem os primeiros 32 caracteres do valor da string. Dependendo do tipo de chave, esses valores podem ser apenas para uma chave, como para o método HTTP ou string de consulta, ou podem ser para uma chave e um nome, como para o cabeçalho e o nome do cabeçalho. 

**requestHeadersInserted**  
A lista de cabeçalhos inseridos para tratamento personalizado de solicitações.

**requestId**  
O ID da solicitação, que é gerado pelo serviço de host subjacente. Para o Application Load Balancer, esse é o ID de rastreamento. Para todos os outros, esse é o ID da solicitação. 

**responseCodeSent**  
O código de resposta enviado com uma resposta personalizada.

**ruleGroupId**  
O ID do grupo de regras. Se a regra bloqueou a solicitação, o ID para `ruleGroupID` será o mesmo que o ID para `terminatingRuleId`. 

**ruleGroupList**  
A lista de grupos de regras que agiram nessa solicitação, com informações de correspondência.

**terminatingRule**  
O tipo de regra que encerrou a solicitação. Se estiver presente, ele contém as seguintes informações.     
action  
A ação de encerramento AWS WAF aplicada à solicitação. Isso indica permissão, bloqueio, CAPTCHA ou desafio. As ações CAPTCHA e Challenge são encerradas quando a solicitação da web não contém um token válido.  
ruleId  
A ID da regra que corresponde à solicitação.   
ruleMatchDetails  
Informações detalhadas sobre a regra que correspondeu à solicitação. Isso é preenchido somente para instruções de regra de correspondência de injeção de SQL e cross-site scripting (XSS). Uma regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência. 
Qualquer informação adicional fornecida para cada regra varia de acordo com fatores como a configuração da regra, o tipo de correspondência da regra e os detalhes da correspondência. Por exemplo, para regras com uma ação CAPTCHA ou Challenge, o `captchaResponse` ou `challengeResponse` será listado. Se a regra correspondente estiver em um grupo de regras e você tiver substituído a ação de regra configurada, a ação configurada será fornecida em `overriddenAction`. 

**terminatingRuleId**  
O ID da regra que encerrou a solicitação. Se nada encerrar a solicitação, o valor será `Default_Action`.

**terminatingRuleMatchDetalhes**  
Informações detalhadas sobre a regra de encerramento que correspondeu à solicitação. Uma regra de encerramento tem uma ação que encerra o processo de inspeção em relação a uma solicitação da Web. As ações possíveis para uma regra de rescisão incluem Allow, Block, CAPTCHA e Challenge. Durante a inspeção de uma solicitação da web, na primeira regra que corresponda à solicitação e que tenha uma ação de encerramento, AWS WAF interrompe a inspeção e aplica a ação. A solicitação da web pode conter outras ameaças, além da que é relatada no log da regra de encerramento correspondente.  
Isso é preenchido somente para instruções de regra de correspondência de injeção de SQL e cross-site scripting (XSS). A regra de correspondência pode exigir uma correspondência para mais de um critério de inspeção, portanto, esses detalhes da correspondência são fornecidos como uma matriz de critérios de correspondência. 

**terminatingRuleType**  
O tipo de regra que encerrou a solicitação. Valores possíveis: RATE\$1BASED, REGULAR, GROUP e MANAGED\$1RULE\$1GROUP.

**timestamp**  
O timestamp em milissegundos.

**uri**  
O URI da solicitação. 

**fragment**  
A parte de uma URL que vem depois do símbolo “\$1”, fornecendo informações adicionais sobre o recurso, por exemplo, \$1section2.

**webaclId**  
O GUID do pacote de proteção (ACL da Web).

# Exemplos de log para tráfego do pacote de proteção (ACL da Web)
<a name="logging-examples"></a>

Esta seção fornece exemplos de registro em log de tráfego do pacote de proteção (ACL da Web).

**Example Regra baseada em intervalos 1: configuração da regra com uma chave, definida como `Header:dogname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Regra baseada em intervalos 1: entrada de log para solicitação bloqueada pela regra baseada em intervalos**  

```
{
   "timestamp":1683355579981,
   "formatVersion":1,
   "webaclId": ...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId": ...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.45",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.45"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"RateBasedRuleTestKoipOneKeyModulePV2"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"Ed0AiHF_CGYF-DA="
   }
}
```

**Example Regra baseada em intervalos 2: configuração de regras com duas chaves, definidas como `Header:dogname` e `Header:catname`**  

```
    {
      "Name": "RateBasedRule",
      "Priority": 1,
      "Statement": {
        "RateBasedStatement": {
          "Limit": 100,
          "AggregateKeyType": "CUSTOM_KEYS",
          "CustomKeys": [
            {
              "Header": {
                "Name": "dogname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            },
            {
              "Header": {
                "Name": "catname",
                "TextTransformations": [
                  {
                    "Priority": 0,
                    "Type": "NONE"
                  }
                ]
              }
            }
          ]
        }
      },
      "Action": {
        "Block": {}
      },
      "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "RateBasedRule"
      }
    }
```

**Example Regra baseada em intervalos 2: entrada de log para solicitação bloqueada pela regra baseada em intervalos**  

```
{
   "timestamp":1633322211194,
   "formatVersion":1,
   "webaclId":...,
   "terminatingRuleId":"RateBasedRule",
   "terminatingRuleType":"RATE_BASED",
   "action":"BLOCK",
   "terminatingRuleMatchDetails":[
      
   ],
   "httpSourceName":"APIGW",
   "httpSourceId":"EXAMPLE11:rjvegx5guh:CanaryTest",
   "ruleGroupList":[
      
   ],
   "rateBasedRuleList":[
      {
         "rateBasedRuleId":...,
         "rateBasedRuleName":"RateBasedRule",
         "limitKey":"CUSTOMKEYS",
         "maxRateAllowed":100,
         "evaluationWindowSec":"120",
         "customValues":[
            {
               "key":"HEADER",
               "name":"dogname",
               "value":"ella"
            },
            {
               "key":"HEADER",
               "name":"catname",
               "value":"goofie"
            }
         ]
      }
   ],
   "nonTerminatingMatchingRules":[
      
   ],
   "requestHeadersInserted":null,
   "responseCodeSent":null,
   "httpRequest":{
      "clientIp":"52.46.82.35",
      "country":"FR",
      "headers":[
         {
            "name":"X-Forwarded-For",
            "value":"52.46.82.35"
         },
         {
            "name":"X-Forwarded-Proto",
            "value":"https"
         },
         {
            "name":"X-Forwarded-Port",
            "value":"443"
         },
         {
            "name":"Host",
            "value":"23llbyn8v3.execute-api.eu-west-3.amazonaws.com"
         },
         {
            "name":"X-Amzn-Trace-Id",
            "value":"Root=1-64556629-17ac754c2ed9f0620e0f2a0c"
         },
         {
            "name":"catname",
            "value":"goofie"
         },
         {
            "name":"dogname",
            "value":"ella"
         },
         {
            "name":"User-Agent",
            "value":"Apache-HttpClient/UNAVAILABLE (Java/11.0.19)"
         },
         {
            "name":"Accept-Encoding",
            "value":"gzip,deflate"
         }
      ],
      "uri":"/CanaryTest",
      "args":"",
      "httpVersion":"HTTP/1.1",
      "httpMethod":"GET",
      "requestId":"EdzmlH5OCGYF1vQ="
   }
}
```

**Example Saída de log para uma regra que foi acionada na SQLi detecção (encerramento)**  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:111122223333:regional/webacl/STMTest/1EXAMPLE-2ARN-3ARN-4ARN-123456EXAMPLE",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "HEADER",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "-",
    "httpSourceId": "-",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [
            {
                "name": "Host",
                "value": "localhost:1989"
            },
            {
                "name": "User-Agent",
                "value": "curl/7.61.1"
            },
            {
                "name": "Accept",
                "value": "*/*"
            },
            {
                "name": "x-stm-test",
                "value": "10 AND 1=1"
            }
        ],
        "uri": "/myUri",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Saída de log para uma regra que foi acionada na SQLi detecção (sem encerramento)**  

```
{
    "timestamp":1592357192516
    ,"formatVersion":1
    ,"webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"Default_Action"
    ,"terminatingRuleType":"REGULAR"
    ,"action":"ALLOW"
    ,"terminatingRuleMatchDetails":[]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":[]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":
    [{
        "ruleId":"TestRule"
        ,"action":"COUNT"
        ,"ruleMatchDetails":
        [{
            "conditionType":"SQL_INJECTION"
            ,"sensitivityLevel": "HIGH"
            ,"location":"HEADER"
            ,"matchedData":[
                "10"
                ,"and"
                ,"1"]
            }]
    }]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":[
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader","myValue":"10 AND 1=1"}
            ]
            ,"uri":"/myUri","args":""
            ,"httpVersion":"HTTP/1.1"
            ,"httpMethod":"GET"
            ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Saída de log para várias regras acionadas dentro de um grupo de regras (RuleA-XSS é de encerramento e Rule-B é de não encerramento)**  

```
{
    "timestamp":1592361810888,
    "formatVersion":1,
    "webaclId":"arn:aws:wafv2:us-east-1:123456789012:global/webacl/hello-world/5933d6d9-9dde-js82-v8aw-9ck28nv9"
    ,"terminatingRuleId":"RG-Reference"
    ,"terminatingRuleType":"GROUP"
    ,"action":"BLOCK",
    "terminatingRuleMatchDetails":
    [{
        "conditionType":"XSS"
        ,"location":"HEADER"
        ,"matchedData":["<","frameset"]
    }]
    ,"httpSourceName":"-"
    ,"httpSourceId":"-"
    ,"ruleGroupList":
    [{
        "ruleGroupId":"arn:aws:wafv2:us-east-1:123456789012:global/rulegroup/hello-world/c05lb698-1f11-4m41-aef4-99a506d53f4b"
        ,"terminatingRule":{
            "ruleId":"RuleA-XSS"
            ,"action":"BLOCK"
            ,"ruleMatchDetails":null
            }
        ,"nonTerminatingMatchingRules":
        [{
            "ruleId":"RuleB-SQLi"
            ,"action":"COUNT"
            ,"ruleMatchDetails":
            [{
                "conditionType":"SQL_INJECTION"
                ,"sensitivityLevel": "LOW"
                ,"location":"HEADER"
                ,"matchedData":[
                    "10"
                    ,"and"
                    ,"1"]
            }]
        }]
        ,"excludedRules":null
    }]
    ,"rateBasedRuleList":[]
    ,"nonTerminatingMatchingRules":[]
    ,"httpRequest":{
        "clientIp":"3.3.3.3"
        ,"country":"US"
        ,"headers":
        [
            {"name":"Host","value":"localhost:1989"}
            ,{"name":"User-Agent","value":"curl/7.61.1"}
            ,{"name":"Accept","value":"*/*"}
            ,{"name":"myHeader1","value":"<frameset onload=alert(1)>"}
            ,{"name":"myHeader2","value":"10 AND 1=1"}
            ]
        ,"uri":"/myUri"
        ,"args":""
        ,"httpVersion":"HTTP/1.1"
        ,"httpMethod":"GET"
        ,"requestId":"rid"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Saída de log para uma regra que foi acionada para a inspeção de corpo da solicitação com o tipo de conteúdo JSON**  
AWS WAF atualmente relata a localização da inspeção corporal JSON como`UNKNOWN`.  

```
{
    "timestamp": 1576280412771,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:ap-southeast-2:123456789012:regional/webacl/test/111",
    "terminatingRuleId": "STMTest_SQLi_XSS",
    "terminatingRuleType": "REGULAR",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [
        {
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "LOW",
            "location": "UNKNOWN",
            "matchedData": [
                "10",
                "AND",
                "1"
            ]
        }
    ],
    "httpSourceName": "ALB",
    "httpSourceId": "alb",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted":null,
    "responseCodeSent":null,
    "httpRequest": {
        "clientIp": "1.1.1.1",
        "country": "AU",
        "headers": [],
        "uri": "",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "POST",
        "requestId": "null"
    },
    "labels": [
        {
            "name": "value"
        }
    ]
}
```

**Example Saída de log para uma regra CAPTCHA em relação a uma solicitação da web com um token CAPTCHA válido e não expirado**  
A lista de logs a seguir é para uma solicitação da web que correspondeu a uma regra com uma ação CAPTCHA. A solicitação da web tem um token CAPTCHA válido e não expirado e só é anotada como uma correspondência de CAPTCHA por AWS WAF, semelhante ao comportamento da ação. Count Essa correspondência de CAPTCHA está indicada em `nonTerminatingMatchingRules`.  

```
{
  "timestamp": 1632420429309,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "Default_Action",
  "terminatingRuleType": "REGULAR",
  "action": "ALLOW",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [
    {
      "ruleId": "captcha-rule",
      "action": "CAPTCHA",
      "ruleMatchDetails": [],
      "captchaResponse": {
        "responseCode": 0,
        "solveTimestamp": 1632420429
      }
    }
  ],
  "requestHeadersInserted": [
    {
      "name": "x-amzn-waf-test-header-name",
      "value": "test-header-value"
    }
  ],
  "responseCodeSent": null,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc24d-5ad89a09181910c43917a888"
      },
      {
        "name": "cache-control",
        "value": "max-age=0"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "same-origin"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "referer",
        "value": "https://b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com/pen-test/pets"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      },
      {
        "name": "cookie",
        "value": "aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINMHHUgoAMFxug="
  }
}
```

**Example Saída de log para uma regra CAPTCHA em relação a uma solicitação da web que não tem um token CAPTCHA**  
A lista de logs a seguir é para uma solicitação da web que correspondeu a uma regra com uma ação CAPTCHA. A solicitação da web não tinha um token CAPTCHA e foi bloqueada por. AWS WAF  

```
{
  "timestamp": 1632420416512,
  "formatVersion": 1,
  "webaclId": "arn:aws:wafv2:us-east-1:123456789012:regional/webacl/captcha-web-acl/585e38b5-afce-4d2a-b417-14fb08b66c67",
  "terminatingRuleId": "captcha-rule",
  "terminatingRuleType": "REGULAR",
  "action": "CAPTCHA",
  "terminatingRuleMatchDetails": [],
  "httpSourceName": "APIGW",
  "httpSourceId": "123456789012:b34myvfw0b:pen-test",
  "ruleGroupList": [],
  "rateBasedRuleList": [],
  "nonTerminatingMatchingRules": [],
  "requestHeadersInserted": null,
  "responseCodeSent": 405,
  "httpRequest": {
    "clientIp": "72.21.198.65",
    "country": "US",
    "headers": [
      {
        "name": "X-Forwarded-For",
        "value": "72.21.198.65"
      },
      {
        "name": "X-Forwarded-Proto",
        "value": "https"
      },
      {
        "name": "X-Forwarded-Port",
        "value": "443"
      },
      {
        "name": "Host",
        "value": "b34myvfw0b.gamma.execute-api.us-east-1.amazonaws.com"
      },
      {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-614cc240-18b57ff33c10e5c016b508c5"
      },
      {
        "name": "sec-ch-ua",
        "value": "\"Chromium\";v=\"94\", \"Google Chrome\";v=\"94\", \";Not A Brand\";v=\"99\""
      },
      {
        "name": "sec-ch-ua-mobile",
        "value": "?0"
      },
      {
        "name": "sec-ch-ua-platform",
        "value": "\"Windows\""
      },
      {
        "name": "upgrade-insecure-requests",
        "value": "1"
      },
      {
        "name": "user-agent",
        "value": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/94.0.4606.54 Safari/537.36"
      },
      {
        "name": "accept",
        "value": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9"
      },
      {
        "name": "sec-fetch-site",
        "value": "cross-site"
      },
      {
        "name": "sec-fetch-mode",
        "value": "navigate"
      },
      {
        "name": "sec-fetch-user",
        "value": "?1"
      },
      {
        "name": "sec-fetch-dest",
        "value": "document"
      },
      {
        "name": "accept-encoding",
        "value": "gzip, deflate, br"
      },
      {
        "name": "accept-language",
        "value": "en-US,en;q=0.9"
      }
    ],
    "uri": "/pen-test/pets",
    "args": "",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "GINKHEssoAMFsrg="
  },
  "captchaResponse": {
    "responseCode": 405,
    "solveTimestamp": 0,
    "failureReason": "TOKEN_MISSING"
  }
}
```

# Proteção de dados
<a name="data-protection-masking"></a>

AWS WAF as configurações de proteção de dados permitem implementar proteção personalizada e granular de informações confidenciais (senhas, chaves de API, tokens de autenticação e outros dados confidenciais) em campos de dados específicos, como cabeçalhos, parâmetros e conteúdo corporal.

Você pode configurar a proteção de dados:
+ No nível do pacote de proteção (ACL da Web), que se aplica a todos os destinos de saídas.
+ Somente registro, o que afeta apenas os dados AWS WAF enviados para o destino de registro configurado. 

A proteção de dados pode ser especificada como substituição ou hash. 

Substituição se refere à substituição do conteúdo pela palavra `REDACTED`. 

 Hash se refere à substituição de conteúdo, de string para binário SHA-256 para Base64:

1. Primeiro, o algoritmo compila uma string a partir de account\$1number e content.

1. Em seguida, ele aplica o SHA-256 para produzir um hash binário.

1. Finalmente, ele codifica esses bytes usando Base64.

**dica**  
 Você deve revisar as características do hash SHA-256 para determinar se ele atende aos seus requisitos antes de selecionar o método de proteção de dados apropriado. Não recomendamos confiar no hash SHA-256 se você pretender obter um resultado equivalente à criptografia ou tokenização.

**Topics**
+ [

# Habilitar proteção de dados
](enable-protection.md)
+ [

# Exceções de proteção de dados
](data-protection-exceptions.md)
+ [

# Limitações de proteção de dados
](data-protection-limitations.md)
+ [

# Exemplos de proteção de dados
](data-protection-examples.md)
+ [

# Configurar proteção de dados para um pacote de proteção (ACL da Web)
](data-protection-configure.md)

# Habilitar proteção de dados
<a name="enable-protection"></a>

Esta seção explica as opções de proteção de dados e configuração de log que você pode selecionar no console. Você pode proteger os dados que aparecem nos logs habilitando a proteção de dados em determinados campos. A proteção de dados pode ser aplicada para transformar informações sensíveis em vários tipos de saídas, incluindo logs completos, exemplos de solicitações e Security Lake.

**Para ativar a proteção de dados no AWS WAF console**

Navegue até a página dos **pacotes de proteção (web ACLs)** no console para **ativar as configurações de proteção**. Para habilitar a proteção de dados para seus logs, escolha se ela será aplicada a todos os logs ou a um destino de log específico. Para mais informações, consulte [Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).

**nota**  
Não é necessário habilitar o registro em log para aplicar a proteção de dados a todos os registros. A proteção de dados será aplicada a todos os destinos de saída, não importando se o registro em log está habilitado ou não. 

No fim da página **Habilitar configurações de proteção**, selecione o botão **Adicionar campo** no painel **Campos de proteção de dados**. Selecione o tipo de campo no menu suspenso. Para saber mais sobre como os dados de cada campo são protegidos com a proteção de dados, consulte a tabela abaixo.


| Tipo de campo | Detalhes | 
| --- | --- | 
|  `Single header`  |  Transforme permanentemente o valor da chave de cabeçalho especificada de acordo com a opção especificada (hash ou substituição). O valor transformado também será refletido em logs completos.  | 
|  `Body`  |  Transforma permanentemente o valor de corpo. Aplicável apenas para `RuleMatchDetails` no log.  | 
|  `Query string`  |  Transforme permanentemente o valor da string de consulta na opção especificada (hash ou substituição). O valor transformado também será refletido em logs completos.  | 
|  `Single query argument`  |  Transforme permanentemente o valor de argumento da consulta especificada de acordo com a opção especificada (hash ou substituição). O valor transformado também será refletido em logs completos.  | 
|  `Single cookie`  |  Transforme permanentemente o valor de cookie de acordo com a opção especificada (hash ou substituição). O valor transformado também será refletido em logs completos.  | 

# Exceções de proteção de dados
<a name="data-protection-exceptions"></a>

Quando habilitada, a proteção de dados será aplicada aos campos em que estiver habilitada, incluindo `RuleMatchDetails` e `rateBasedRuleList`. Porém, há casos em que você pode ser importante incluir os dados e o conteúdo protegido em `RuleMatchDetails` e `rateBasedRuleList` para solução de problemas e visibilidade. Nesses cenários, você pode especificar exceções à proteção de dados nesse campo.
+ **`ExcludeRuleMatchDetails`**: se você especificar essa exceção para um campo específico, `RuleMatchDetails` mostrará o valor do campo e não estará no escopo da proteção de dados. 
+ **`ExcludeRateBasedDetails`**: se você especificar essa exceção para um campo específico, `rateBasedRuleList` mostrará o valor do campo e não estará no escopo da proteção de dados.

  Exemplo: a regra `ExcludeRateBasedDetails` está habilitada em **SINGLE\$1HEADER** e **HEADER\$1NAME** para “dogname”.

  Se uma exceção não for aplicada à regra, o valor de “dogname” aparecerá como `REDACTED`.

  ```
  "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"REDACTED" } ] } ]
  ```

  Se uma exceção for habilitada na regra, o valor de “dogname” aparecerá no log.

  ```
   "rateBasedRuleList":[ {"rateBasedRuleId": ...,
                          "rateBasedRuleName":"RateBasedRule", "limitKey":"CUSTOMKEYS",
                          "maxRateAllowed":100, "evaluationWindowSec":"120", "customValues":[
                          {"key":"HEADER", "name":"dogname", "value":"ELLA" } ] } ]
  ```

**Atenção**  
O recurso de proteção de dados pode afetar potencialmente os AWS WAF recursos de solução de problemas. Essas configurações podem causar comportamentos de detecção e mitigação inesperados. Limite a proteção de dados para parâmetros específicos apenas aos que forem absolutamente necessários.

# Limitações de proteção de dados
<a name="data-protection-limitations"></a>

Veja a seguir limitações a considerar ao usar proteção de dados.

## QueryString and SingleQueryArg
<a name="queries"></a>

**QueryString Proteção**
+ A proteção de dados ativada `QueryString` se aplica a todos os argumentos de consulta, substituting/hashing tanto chaves quanto valores, de acordo com as configurações especificadas.

**QueryString em `RuleMatch` detalhes e listas de `RateBased` regras**
+ Se a proteção de dados for aplicada a um único argumento de consulta, toda a string de consulta estará substituted/hashed na `RateBasedRule` seção `RuleMatchDetails` e em registros completos.
+ Se diferentes métodos de proteção forem especificados (substituição e hash) em vários argumentos de consulta única, o método mais rigoroso, a substituição, será aplicado a toda a string de consulta na seção `RuleMatchDetails` e `RateBasedRule` nos logs completos.

## Cookies
<a name="cookies"></a>

**nota**  
 A proteção de dados é aplicada apenas aos valores do cookie quando o cookie de cabeçalho único é protegido. 

**Cookie único nas listas `RuleMatchDetails` e `RateBasedRule`**
+ Se a proteção de dados for aplicada a um único cookie, todo o cabeçalho do cookie estará substituted/hashed na `RateBasedRule` seção `RuleMatchDetails` e em registros completos.
+ Se diferentes métodos de proteção forem especificados (substituição e hash), o método mais rigoroso, a substituição, será aplicado a todo o cookie na seção `RuleMatchDetails` e `RateBasedRule` nos logs completos.

# Exemplos de proteção de dados
<a name="data-protection-examples"></a>

Esta seção contém exemplos de log de registro em log de proteção de dados de tráfego de pacote de proteção (ACL da Web).

## DataProtection hashing
<a name="dataprotection-hashing"></a>

Configuração de webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemplo DataProtection de hashing: entrada de registro com o SingleQuery argumento “hoppy” protegido.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM=&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## DataProtection substituição
<a name="dataprotection-substitution"></a>

Configuração de webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_QUERY_ARGUMENT",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "SUBSTITUTION",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemplo de DataProtection substituição: entrada de registro com o argumento de consulta única “hoppy” protegido

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": []
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }],
    "uri": "/CanaryTest",
    "args": "hoppy=REDACTED&yellow=hello&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Retenção de dados em RuleMatchDetails
<a name="rulematchdetails-retain-data"></a>

Configuração de webacl

```
"data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": true,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemplo de retenção de dados em RuleMatchDetails: Entrada de registro com um único `Header` “hoppy” protegido, mas o valor é retido somente em. `RuleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "HEADER",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "hoppy"
        }]
    }],
"requestHeadersInserted": null,
"responseCodeSent": null,
"httpRequest": {
    "clientIp": "54.239.98.137",
    "country": "US",
    "headers": [{
        "name": "X-Forwarded-For",
        "value": "54.239.98.137"
    }, {
        "name": "X-Forwarded-Proto",
        "value": "https"
    }, {
        "name": "X-Forwarded-Port",
        "value": "443"
    }, {
        "name": "Host",
        "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
    }, {
        "name": "X-Amzn-Trace-Id",
        "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
    }, {
        "name": "hoppy",
        "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
    }, {
        "name": "Accept-Encoding",
        "value": "gzip"
    }, {
        "name": "User-Agent",
        "value": "okhttp/3.12.1"
    }, {
        "name": "hoppy",
        "value": "z6hpYAFaMYdtiTeHhxnN5ydgRE5E1WgyVIdgqH0D3iM="
    }],
    "uri": "/CanaryTest",
    "args": "happy=true",
    "httpVersion": "HTTP/1.1",
    "httpMethod": "GET",
    "requestId": "FepO0F8fIAMEqoQ="
},
"labels": [{
    "name": "awswaf:forwardedip:geo:country:US"
}, {
    "name": "awswaf:forwardedip:geo:region:US-VA"
}]
}
```

## Retenção de dados em rateBasedRule
<a name="ratebasedrule-retain-data"></a>

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_HEADER",
                        "field_keys": [
                            "hoppy"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": true
                }
             ]
           }
```

Exemplo de retenção de dados na rateBasedRule lista: entrada de registro com o único `Header` “hoppy” protegido, mas o valor é retido somente em `rateBasedRuleList`

```
{
    "timestamp": 1683355579981,
    "formatVersion": 1,
    "webaclId": ...,
    "terminatingRuleId": "RateBasedRule",
    "terminatingRuleType": "RATE_BASED",
    "action": "BLOCK",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "EXAMPLE11:rjvegx5guh:CanaryTest",
    "ruleGroupList": [],
    "rateBasedRuleList": [{
        "rateBasedRuleId": ...,
        "rateBasedRuleName": "RateBasedRule",
        "limitKey": "CUSTOMKEYS",
        "maxRateAllowed": 100,
        "evaluationWindowSec": "120",
        "customValues": [{
            "key": "HEADER",
            "name": "hoppy",
            "value": "ella"
        }]
    }],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "52.46.82.45",
        "country": "FR",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "52.46.82.45"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "rjvegx5guh.execute-api.eu-west-3.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-645566cf-7cb058b04d9bb3ee01dc4036"
        }, {
            "name": "hoppy",
            "value": "zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="
        }, {
            "name": "User-Agent",
            "value": "RateBasedRuleTestKoipOneKeyModulePV2"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip,deflate"
        }],
        "uri": "/CanaryTest",
        "args": "",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "Ed0AiHF_CGYF-DA="
    }
}
```

## Proteção de dados para corpo
<a name="dataprotection-body"></a>

AWS WAF registra somente subconjuntos de Body in`RuleMatchDetails`.

Configuração de webacl

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "BODY"
                    },
                    "action": "SUBSTITUTE",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemplo DataProtection de corpo: entrada de registro com corpo substituído em. `ruleMatchDetails`

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIBody",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "BODY",
            "matchedData": ["REDACTED"]
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Proteção de dados para o `SINGLE_COOKIE`
<a name="single-cookie-data-protection"></a>

Configuração de webacl

```
 "data_protection_config": {
            "data_protections": [
                {
                    "field": {
                        "field_type": "SINGLE_COOKIE",
                        "field_keys": [
                            "MILO"
                        ]
                    },
                    "action": "HASH",
                    "exclude_rule_match_details": false,
                    "exclude_rate_based_details": false
                }
             ]
           }
```

Exemplo DataProtection para`SINGLE_COOKIE`: Entrada de registro com um `SINGLE_COOKIE` nome “MILO” protegido.

O log completo mostra que o cookie denominado MILO está protegido em `ruleMatchDetails` e o cabeçalho do cookie. Somente os valores de cookies são protegidos e os nomes de chaves são excluídos.

**nota**  
Todos os campos protegidos (cabeçalho único, cookie, argumento de consulta) não diferenciam maiúsculas de minúsculas. Então, neste exemplo, “MILO” corresponde a “milo”.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [{
        "ruleId": "ProtectedSQLIHeadersVisibleInSTM",
        "action": "COUNT",
        "ruleMatchDetails": [{
            "conditionType": "SQL_INJECTION",
            "sensitivityLevel": "HIGH",
            "location": "COOKIE",
            "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
            "matchedFieldName": "milo"
        }]
    }],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=dog;milo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=abc&hoppy-query=xyz&x-hoppy-extra=generic-%3Cwords%3E-in-angle-brackets",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Proteção de dados para todos os cookies
<a name="all-cookies-data-protection"></a>

Você pode configurar a proteção de dados para cookies usando `SINGLE_HEADER`. Somente os valores de cookies são protegidos e os nomes de chaves são excluídos.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_HEADER",
                "FieldKeys": ["cookie"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Exemplo DataProtection de `header ` “COOKIE”: Entrada de registro com o cabeçalho do cookie protegido.

**nota**  
O nome do cookie `AWS-WAF-TOKEN` está fora do escopo de proteção de dados.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionhashACL/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }, {
            "name": "cookie",
            "value": "hoppy=REDACTED;milo=REDACTED;aws-waf-token=51c71352-41f5-4f6d-b676-c24907bdf819:EQoAZ/J+AAQAAAAA:t9wvxbw042wva7E2Y6lgud/bS6YG0CJKVAJqaRqDZ140ythKW0Zj9wKB2O8lSkYDRqf1yONcVBFo5u0eYi0tvT4rtQCXsu+KanAardW8go4QSLw4yoED59lgV7oAhGyCalAzE7ra29j+RvvZPsQyoQuDCrtoY/TvQyMTXIXzGPDC/rKBbg=="
        }],
        "uri": "/CanaryTest",
        "args": "baloo=xyz=&hoppy-query=abc&x-hoppy-extra=abc",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Proteção de dados para argumentos de consulta única
<a name="single-query-argument"></a>

Você pode configurar a proteção de dados uma string de consulta usando `SINGLE_QUERY_ARGUMENT`. Isso afeta as chaves e os valores de todos os argumentos de consulta. Nos exemplos a seguir, a string de consulta original era `baloo=10 AND 1=1&hoppy=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Configuração de webacl

```
"DataProtectionConfig": {
   "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Exemplo DataProtection para`SINGLE_QUERY_ARGUEMENT`: entrada de registro com a string de consulta “hoppy” protegida com substituição.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "FullQueryStringInspectionWhichDetectsTheFirstFieldWithSQLi_Baloo_IsAlsoMaskedMasked",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "10", "AND", "1" ],
                "matchedFieldName": "baloo"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=10 AND 1=1&hoppy=REDACTED&x-hoppy-extra=generic-%3Cwords",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Proteção de dados para strings de consulta
<a name="data-protection-query-string"></a>

Você pode configurar a proteção de dados uma string de consulta usando `QUERY_STRING`. Isso afeta as chaves e os valores de todos os argumentos de consulta. Nos exemplos a seguir, a string de consulta original era `baloo=10 AND 1=1&hoppy-query=10 AND 1=1&x-hoppy-extra=generic-%3Cwords`.

Configuração de webacl

```
"DataProtectionConfig": {
 "DataProtections": [
 {
 "Field": {
 "FieldType": "QUERY_STRING"
 },
 "Action": "SUBSTITUTION",
 "ExcludeRuleMatchDetails": false,
 "ExcludeRateBasedDetails": false
 }
 ]
}
```

Exemplo DataProtection para`QUERY_STRING`: Entrada de registro com string de consulta protegida com substituição.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_STRING",
                "matchedData": ["REDACTED"]
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": [ "REDACTED" ],
                "matchedFieldName": "REDACTED"
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "REDACTED",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

## Proteção de dados para argumentos de várias consultas
<a name="data-protection-multiple-query-arguments"></a>

Você pode configurar a proteção de dados para argumentos de consultas individuais usando `SINGLE_QUERY_ARGUMENT`. Ao fornecer informações locais, usamos proteções locais. Porém, as strings que corresponderam em string de consulta e cabeçalho de cookie têm muitas configurações de proteção que poderiam ser aplicadas. Para simplificar, a proteção mais rigorosa para `RuleMatchDetails` é aplicada, mesmo que não se sobreponha ao intervalo de dados específico correspondente.

Nos exemplos a seguir, a string de consulta original era `baloo=is_a_good_boy&hoppy=likes_to_sleep&x-hoppy-extra=10 AND 1=1`.

```
"DataProtectionConfig": {
    "DataProtections": [
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["hoppy"]
            },
            "Action": "SUBSTITUTION",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        },
        {
            "Field": {
                "FieldType": "SINGLE_QUERY_ARGUMENT",
                "FieldKeys": ["baloo"]
            },
            "Action": "HASH",
            "ExcludeRuleMatchDetails": false,
            "ExcludeRateBasedDetails": false
        }
    ]
}
```

Exemplo DataProtection de vários argumentos de consulta.

```
{
    "timestamp": 1738705092889,
    "formatVersion": 1,
    "webaclId": "arn:aws:wafv2:us-east-1:111122223333:regional/webacl/DataProtectionSubstituteQueryString/4eede063-e611-44f5-b357-ffc9d7b7fed5",
    "terminatingRuleId": "Default_Action",
    "terminatingRuleType": "REGULAR",
    "action": "ALLOW",
    "terminatingRuleMatchDetails": [],
    "httpSourceName": "APIGW",
    "httpSourceId": "746533260405:xt7v59bhn7:ABC",
    "ruleGroupList": [],
    "rateBasedRuleList": [],
    "nonTerminatingMatchingRules": [
      {
        "ruleId": "ProtectedHoppyQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["REDACTED"],
                "matchedFieldName": "hoppy"
            }]
      },
      {
        "ruleId": "ProtectedBalooQueryArg",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "SINGLE_QUERY_ARG",
                "matchedData": ["zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE="],
                "matchedFieldName": "baloo"
            }]
      },
      {
        "ruleId": "FullQueryStringDetects_x-hoppy-extra_IsSubstituted",
        "action": "COUNT",
        "ruleMatchDetails": [
            {
                "conditionType": "SQL_INJECTION",
                "sensitivityLevel": "HIGH",
                "location": "QUERY_ARGS",
                "matchedData": ["REDACTED"],  // Harshest of Protection Config
            }]
      }
    ],
    "requestHeadersInserted": null,
    "responseCodeSent": null,
    "httpRequest": {
        "clientIp": "54.239.98.137",
        "country": "US",
        "headers": [{
            "name": "X-Forwarded-For",
            "value": "54.239.98.137"
        }, {
            "name": "X-Forwarded-Proto",
            "value": "https"
        }, {
            "name": "X-Forwarded-Port",
            "value": "443"
        }, {
            "name": "Host",
            "value": "xt7xxx9bhn7.gamma.execute-api.us-east-1.amazonaws.com"
        }, {
            "name": "X-Amzn-Trace-Id",
            "value": "Root=1-67a288c4-27acb3cd5795dd8456b7e3c3"
        }, {
            "name": "Accept-Encoding",
            "value": "gzip"
        }, {
            "name": "User-Agent",
            "value": "okhttp/3.12.1"
        }],
        "uri": "/CanaryTest",
        "args": "baloo=zuomr2mxQxofg6EI6f7hMNGaJhhPxt0rFVAXog6FLxE=&hoppy=REDACTED&x-hoppy-extra=10 AND 1=1",
        "httpVersion": "HTTP/1.1",
        "httpMethod": "GET",
        "requestId": "FepO0F8fIAMEqoQ="
    },
    "labels": [{
        "name": "awswaf:forwardedip:geo:country:US"
    }, {
        "name": "awswaf:forwardedip:geo:region:US-VA"
    }]
}
```

**nota**  
Você não pode especificar o **QueryString mascaramento e o mascaramento** de **argumentos de consulta única na mesma WebACL**.

# Configurar proteção de dados para um pacote de proteção (ACL da Web)
<a name="data-protection-configure"></a>

Esta seção fornece instruções para configurar proteção de dados para um pacote de proteção (ACL da Web).

**Para configurar proteção de dados para um pacote de proteção (ACL da Web)**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **pacotes de proteção (web ACLs)**.

1. Selecione o nome do pacote de proteção (ACL da Web) no qual você deseja habilitar proteção de dados. O console leva você para a descrição pacote de proteção (ACL da Web), onde poderá editá-la.

1. Na guia **Registro em log e métricas**, no painel **Configurações de proteção de dados**, escolha **Habilitar** ou **Editar**.

1. Escolha o escopo **Global** e depois faça suas seleções de proteção de dados de campo. Para cada configuração de proteção de dados de campo, você também pode especificar exceções a serem excluídas do comportamento de proteção. 

1. Quando tiver concluído suas seleções, escolha **Salvar**. A interface volta para a guia **Registro em log e métricas**, onde suas seleções estão resumidas.

# Testando e ajustando suas AWS WAF proteções
<a name="web-acl-testing"></a>

Esta seção fornece orientação para testar e ajustar seus pacotes de AWS WAF proteção (web ACLs), regras, grupos de regras, conjuntos de IP e conjuntos de padrões regex.

Recomendamos que você teste e ajuste todas as alterações em seu pacote de AWS WAF proteção (Web ACL) antes de aplicá-las ao tráfego do seu site ou aplicativo web. 

**Risco de tráfego de produção**  
Antes de implantar sua implementação de pacote de proteção (ACL da Web) para tráfego de produção, teste-a e ajuste-a em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste as regras no modo de contagem com seu tráfego de produção antes de ativá-las. 

Esta seção também fornece orientação geral para testar seu uso de grupos de regras gerenciadas por outra pessoa. Isso inclui AWS grupos de regras de regras AWS Marketplace gerenciadas, grupos de regras gerenciadas e grupos de regras que são compartilhados com você por outra conta. Para esses grupos de regras, siga também qualquer orientação recebida do provedor do grupo de regras.
+ Para o grupo de regras de regras AWS gerenciadas do Bot Control, consulte também[Testando e implantando o AWS WAF Bot Control](waf-bot-control-deploying.md). 
+ Para o grupo de regras de regras AWS gerenciadas de prevenção de aquisição de contas, consulte [Testando e implantando o ATP](waf-atp-deploying.md) também. 
+ Para o grupo de regras de regras AWS gerenciadas para prevenção de fraudes na criação de contas, consulte também[Testando e implantando o ACFP](waf-acfp-deploying.md). 

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

# Testes e ajustes de etapas de alto nível
<a name="web-acl-testing-high-level"></a>

Esta seção fornece uma lista de verificação das etapas para testar alterações em sua web ACL, incluindo quaisquer regras ou grupos de regras que ela usa. 

**nota**  
Para seguir as orientações desta seção, você precisa entender como criar e gerenciar AWS WAF proteções como pacotes de proteção (web ACLs), regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

**Para testar e ajustar seu pacote de proteção (ACL da Web)**

Execute estas etapas primeiro em um ambiente de teste e depois na produção.

1. 

**Preparar para testes**

   Prepare seu ambiente de monitoramento, alterne suas novas AWS WAF proteções para o modo de contagem para testes e crie todas as associações de recursos necessárias. 

   Consulte [Preparando-se para testar suas AWS WAF proteções](web-acl-testing-prep.md). 

1. 

**Monitore e ajuste ambientes de teste e produção**

   Monitore e ajuste suas AWS WAF proteções primeiro em um ambiente de teste ou teste e depois na produção, até que você tenha certeza de que elas podem lidar com o tráfego conforme necessário. 

   Consulte [Monitorando e ajustando suas AWS WAF proteções](web-acl-testing-activities.md). 

1. 

**Ative suas proteções na produção**

   Quando estiver satisfeito com suas proteções de teste, coloque-as no modo de produção, limpe todos os artefatos de teste desnecessários e continue monitorando.

   Consulte [Ativando suas proteções na produção](web-acl-testing-enable-production.md). 

Depois de concluir a implementação das alterações, continue monitorando o tráfego da web e as proteções na produção para garantir que estejam funcionando como você deseja. Os padrões de tráfego da web podem mudar com o tempo, então talvez seja necessário ajustar as proteções ocasionalmente.

# Preparando-se para testar suas AWS WAF proteções
<a name="web-acl-testing-prep"></a>

Esta seção descreve como se preparar para testar e ajustar suas AWS WAF proteções. 

**nota**  
Para seguir as orientações desta seção, você precisa entender geralmente como criar e gerenciar AWS WAF proteções, como pacotes de proteção (web ACLs), regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

**Para se preparar para testes**

1. 

**Ative o registro do pacote de proteção (web ACL), CloudWatch métricas da Amazon e amostragem de solicitações da web para o pacote de proteção (web ACL)**

   Use o registro em log, as métricas e a amostragem para monitorar a interação das regras de pacote de proteção (ACL da Web) com o tráfego da Web. 
   + **Registro** — Você pode configurar AWS WAF para registrar as solicitações da web que um pacote de proteção (Web ACL) avalia. Você pode enviar registros para CloudWatch logs, um bucket do Amazon S3 ou um stream de entrega do Amazon Data Firehose. Você pode editar campos e aplicar filtragem. Para saber mais, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 
   + **Amazon Security Lake**: você pode configurar o Security Lake para coletar dados do pacote de proteção (ACL da Web). O Security Lake coleta dados de logs e de eventos de várias origens na para normalização, análise e gerenciamento. Para obter informações sobre essa opção, consulte [O que é o Amazon Security Lake?](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) e [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
   + ** CloudWatch Métricas da Amazon** — Na configuração do seu pacote de proteção (web ACL), forneça especificações métricas para tudo o que você deseja monitorar. Você pode ver as métricas por meio dos AWS WAF CloudWatch consoles e. Para obter mais informações, consulte [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 
   + **Amostragem de solicitações da Web**: você pode visualizar uma amostra de todas as solicitações da Web que o pacote de proteção (ACL da Web) avalia. Para obter informações sobre amostragem de solicitações da web, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

1. 

**Defina suas proteções para o modo Count**

   Na configuração do pacote de proteção (ACL da Web), alterne tudo o que você deseja testar para o modo de contagem. Isso faz com que as proteções de teste registrem correspondências com solicitações da web sem alterar a forma como as solicitações são tratadas. Você poderá ver as correspondências em suas métricas, logs e amostras de solicitações, para verificar os critérios de correspondência e entender quais podem ser os efeitos no seu tráfego da web. As regras que adicionam rótulos às solicitações correspondentes adicionarão rótulos independentemente da ação da regra. 
   + **Regra definida no pacote de proteção (ACL da Web)**: edite as regras no pacote de proteção (ACL da Web) e defina suas ações como Count. 
   + **Grupo de regras**: na configuração do pacote de proteção (ACL da Web), edite a instrução da regra para o grupo de regras e, no painel **Regras**, abra o menu suspenso **Substituir todas as ações de regra** e escolha **Count**. Se você gerencia o pacote de proteção (ACL da Web) em JSON, adicione as regras às configurações `RuleActionOverrides` na instrução de referência do grupo de regras, com `ActionToUse` definido como Count. A lista de exemplos a seguir mostra as substituições de duas regras no grupo de regras de Regras `AWSManagedRulesAnonymousIpList` AWS Gerenciadas. 

     ```
       "ManagedRuleGroupStatement": {
         "VendorName": "AWS",
         "Name": "AWSManagedRulesAnonymousIpList",
           "RuleActionOverrides": [
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "AnonymousIPList"
             },
             {
               "ActionToUse": {
                 "Count": {}
               },
               "Name": "HostingProviderIPList"
             }
           ],
           "ExcludedRules": []
         }
       },
     ```

     Para saber mais sobre alterações de ações, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

     Para seu próprio grupo de regras, não modifique as ações da regra no próprio grupo de regras. As regras de grupo de regras com ação Count não geram as métricas ou outros artefatos necessários para seus testes. Além disso, a alteração de um grupo de regras afeta todos os pacotes de proteção (web ACLs) que o usam, enquanto as alterações na configuração do pacote de proteção (web ACL) afetam somente o pacote de proteção único (web ACL). 
   + **pacote de proteção (ACL da Web)**: se você estiver testando um novo pacote de proteção (ACL da Web), defina a ação padrão para que o pacote de proteção (ACL da Web) permita solicitações. Isso permite que você experimente a web ACL sem afetar o tráfego de forma alguma. 

   Em geral, o modo de contagem gera mais correspondências do que a produção. Isso ocorre porque uma regra que conta as solicitações não interrompe a avaliação da solicitação pelo pacote de proteção (ACL da Web), portanto, as regras que são executadas posteriormente no pacote de proteção (ACL da Web) também podem corresponder à solicitação. Quando você altera suas ações de regra para as configurações de produção, as regras que permitem ou bloqueiam solicitações encerrarão a avaliação das solicitações correspondentes. Como resultado, as solicitações que correspondem à regra geralmente serão inspecionadas por menos regras no pacote de proteção (ACL da Web). Para saber mais sobre os efeitos das ações de regra na avaliação geral de uma solicitação da web, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

   Com essas configurações, suas novas proteções não alterarão o tráfego da Web, mas gerarão informações de correspondência em métricas, logs de pacote de proteção (ACL da Web) e amostras de solicitações. 

1. 

**Associar o pacote de proteção (ACL da Web) a um recurso**

   Se o pacote de proteção (ACL da Web) ainda não estiver associado ao recurso, faça isso. 

   Consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

Agora você está pronto para monitorar e ajustar o pacote de proteção (ACL da Web). 

# Monitorando e ajustando suas AWS WAF proteções
<a name="web-acl-testing-activities"></a>

Monitore e ajuste suas AWS WAF proteções.

**nota**  
Para seguir as orientações desta seção, você precisa entender geralmente como criar e gerenciar AWS WAF proteções, como pacotes de proteção (web ACLs), regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

Monitore o tráfego da Web e as correspondências de regras para verificar o comportamento do pacote de proteção (ACL da Web). Se você encontrar problemas, ajuste suas regras para corrigir e depois monitore para verificar os ajustes. 

Repita o procedimento a seguir até que o pacote de proteção (ACL da Web) esteja gerenciando seu tráfego da Web conforme necessário. 

**Para monitorar e ajustar**

1. 

**Monitore o tráfego e as correspondências de regras**

   Verifique se o tráfego está fluindo e se suas regras de teste estão descobrindo solicitações correspondentes. 

   Procure as seguintes informações sobre as proteções que você está testando: 
   + **Logs**: acesse informações sobre as regras que correspondem a uma solicitação da web: 
     + **Suas regras**: as regras no pacote de proteção (ACL da Web) com ação Count estão listadas em `nonTerminatingMatchingRules`. As regras com Allow ou Block estão listadas como o `terminatingRule`. Regras com CAPTCHA ou Challenge podem ser de encerramento ou de não encerramento, portanto, são listadas em uma das duas categorias, de acordo com o resultado da correspondência de regras.
     + **Grupos de regras**: os grupos de regras são identificados no campo `ruleGroupId`, com suas correspondências de regras categorizadas da mesma forma que as regras autônomas. 
     + **Rótulos**: os rótulos que as regras aplicaram à solicitação são listados no campo `Labels`.

     Para obter mais informações, consulte [Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).
   + ** CloudWatch Métricas da Amazon** — Você pode acessar as seguintes métricas para avaliar sua solicitação de pacote de proteção (web ACL). 
     + **Suas regras**: as métricas são agrupadas pela ação da regra. Por exemplo, quando você testa uma regra no modo Count, suas correspondências serão listadas como métricas `Count` para o pacote de proteção (ACL da Web). 
     + **Seus grupos de regras**: as métricas para seus grupos de regras estão listadas nas métricas do grupo de regras. 
     + **Grupos de regras pertencentes a outra conta**: as métricas do grupo de regras geralmente são visíveis somente para o proprietário do grupo de regras. No entanto, se você substituir a ação da regra por uma regra, as métricas dessa regra serão listadas em suas métricas do pacote de proteção (ACL da Web). Além disso, os rótulos adicionados por qualquer grupo de regras são listados nas métricas do pacote de proteção (ACL da Web). 

       As regras de ação de contagem em grupos de regras NÃO emitem métricas de dimensão de ACL da web — somente dimensões de regra e região. RuleGroup Isso se aplica mesmo quando o grupo de regras é referenciado em uma ACL da web.

       Os grupos de regras dessa categoria são [AWS Regras gerenciadas para AWS WAF](aws-managed-rule-groups.md), [AWS Marketplace grupos de regras](marketplace-rule-groups.md), [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md) e grupos de regras que são compartilhados com você por outra conta. Quando um pacote de proteção (ACL da Web) é implantado por meio do Firewall Manager, qualquer regra dentro da WebACL que tenha uma ação de contagem não exibirá suas métricas na conta de membro.
     + **Rótulos**: os rótulos que foram adicionados a uma solicitação da Web durante a avaliação são listados nas métricas de rótulos do pacote de proteção (ACL da Web). Você pode acessar as métricas de todos os rótulos, independentemente de terem sido adicionados por suas regras e grupos de regras ou pelas regras em um grupo de regras de propriedade de outra conta. 

     Para obter mais informações, consulte [Visualização de métricas para sua web ACL](web-acl-testing-view-metrics.md).
   + **painéis de visão geral do tráfego do pacote de proteção (web ACL)** **— Acesse resumos do tráfego da web que um pacote de proteção (web ACL) avaliou acessando a página do pacote de proteção (web ACL) no AWS WAF console e abrindo a guia Visão geral do tráfego.** 

     Os painéis de visão geral do tráfego fornecem resumos quase em tempo real das CloudWatch métricas da Amazon que são AWS WAF coletadas quando avalia o tráfego do seu aplicativo na web. 

     Para obter mais informações, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md).
   + **Solicitações da web amostradas**: acesse as informações das regras que correspondem a uma amostra das solicitações da web. As informações de amostra identificam as regras correspondentes pelo nome da métrica da regra no pacote de proteção (ACL da Web). Para grupos de regras, a métrica identifica a instrução de referência do grupo de regras. Para regras dentro de grupos de regras, o exemplo lista o nome da regra correspondente em `RuleWithinRuleGroup`. 

     Para saber mais, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md).

1. 

**Configure mitigações para lidar com falsos positivos**

   Se você determinar que uma regra está gerando falsos positivos, estabelecendo a correspondência de solicitações da Web quando não deveria, as opções a seguir podem ajudar a ajustar suas proteções do pacote de proteção (ACL da Web) para mitigar o problema. 

**Correção de critérios de inspeção de regras**  
Para suas próprias regras, muitas vezes você só precisa ajustar as configurações que está usando para inspecionar solicitações da web. Os exemplos incluem alterar as especificações em um conjunto de padrões regex, ajustar as transformações de texto que você aplica a um componente de solicitação antes da inspeção ou mudar para o uso de um endereço IP encaminhado. Consulte a orientação sobre o tipo de regra que está causando problemas, em [Usando declarações de regras em AWS WAF](waf-rule-statements.md). 

**Correção de problemas mais complexos**  
Para critérios de inspeção que você não controla e para algumas regras complexas, talvez seja necessário fazer outras alterações, como adicionar regras que permitam ou bloqueiem solicitações explicitamente ou que eliminem as solicitações da avaliação pela regra problemática. Os grupos de regras gerenciadas geralmente precisam desse tipo de mitigação, mas outras regras também precisam. Os exemplos incluem a instrução de regra baseada em intervalos e a instrução de regra de ataque de injeção de SQL. 

   O que você faz para mitigar falsos positivos depende do seu caso de uso. A seguir, são mostradas as abordagens comuns:
   + **Adicionar uma regra atenuante**: adicione uma regra que seja executada antes da nova regra e que permita explicitamente solicitações que estejam causando falsos positivos. Para obter informações sobre a ordem de avaliação de regras em uma web ACL, consulte [Definir prioridade das regras](web-acl-processing-order.md).

     Com essa abordagem, as solicitações permitidas são enviadas ao recurso protegido, para que nunca cheguem à nova regra para avaliação. Se a nova regra for um grupo de regras gerenciadas pago, essa abordagem também poderá ajudar a conter o custo do uso do grupo de regras. 
   + **Adicionar uma regra lógica com uma regra de mitigação**: use instruções de regras lógicas para combinar a nova regra com uma regra que exclua os falsos positivos. Para mais informações, consulte [Usando declarações de regras lógicas em AWS WAF](waf-rule-statements-logical.md).

     Por exemplo, digamos que você esteja adicionando uma instrução de correspondência de ataque de injeção de SQL que está gerando falsos positivos para uma categoria de solicitações. Crie uma regra que corresponda a essas solicitações e, em seguida, combine as regras usando instruções de regras lógicas para que você corresponda somente às solicitações que em que ambas não correspondam aos critérios de falsos positivos e correspondam aos critérios de ataque de injeção de SQL. 
   + **Adicionar uma instrução de redução de escopo**: para instruções baseadas em taxas e instruções de referência de grupos de regras gerenciadas, exclua as solicitações que resultam em falsos positivos da avaliação adicionando uma instrução de redução de escopo dentro da instrução principal. 

     Uma solicitação que não corresponda à instrução de escopo inferior nunca chega ao grupo de regras ou à avaliação baseada em intervalos. Para informações sobre instruções de redução de escopo, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md). Para ver um exemplo, consulte [Como excluir o intervalo de IP do gerenciamento de bots](waf-bot-control-example-scope-down-ip.md). 
   + **Adicionar uma regra de correspondência de rótulos**: para grupos de regras que usam rótulos, identifique o rótulo que a regra problemática está aplicando às solicitações. Talvez seja necessário definir primeiro as regras do grupo de regras no modo de contagem, caso ainda não tenha feito isso. Adicione uma regra de correspondência de rótulo, posicionada para ser executada após o grupo de regras, que corresponda ao rótulo que está sendo adicionado pela regra problemática. Na regra de correspondência de rótulos, você pode filtrar as solicitações que deseja permitir daquelas que deseja bloquear. 

     Se você usar essa abordagem, ao terminar o teste, mantenha a regra problemática no modo de contagem no grupo de regras e mantenha sua regra de correspondência de rótulos personalizada em vigor. Para obter mais informações sobre instruções de correspondência de rótulo, consulte [Instrução de regra de correspondência de rótulo](waf-rule-statement-type-label-match.md). Veja exemplos em [Como permitir um bot bloqueado específico](waf-bot-control-example-allow-blocked-bot.md) e [Exemplo de ATP: tratamento personalizado para credenciais ausentes e comprometidas](waf-atp-control-example-user-agent-exception.md). 
   + **Alterar a versão de um grupo de regras gerenciadas**: para grupos versionados de regras gerenciadas, altere a versão que você está usando. Por exemplo, você pode voltar para a última versão estática que estava usando com sucesso. 

     Geralmente, essa é uma solução temporária. Você pode alterar a versão do seu tráfego de produção enquanto continua testando a versão mais recente em seu ambiente de teste ou preparação, ou enquanto espera por uma versão mais compatível do provedor. Para obter informações sobre as versões de grupos de regras gerenciadas, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md).

Quando estiver convencido de que as novas regras estão correspondendo às solicitações conforme necessário, passe para a próxima etapa dos testes e repita esse procedimento. Execute a etapa final de testes e ajustes em seu ambiente de produção.

# Visualização de métricas para sua web ACL
<a name="web-acl-testing-view-metrics"></a>

Esta seção descreve como visualizar as métricas do pacote de proteção (ACL da Web).

Depois de associar um pacote de proteção (web ACL) a um ou mais AWS recursos, você pode visualizar as métricas resultantes da associação em um CloudWatch gráfico da Amazon. 

Para obter informações sobre AWS WAF métricas, consulte[AWS WAF métricas e dimensões](waf-metrics.md). Para obter informações sobre CloudWatch métricas, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Para cada uma de suas regras em um pacote de proteção (web ACL) e para todas as solicitações que um recurso associado encaminha AWS WAF para um pacote de proteção (web ACL), você pode fazer CloudWatch o seguinte:
+ Visualize dados da hora anterior ou das três horas anteriores.
+ Altere o intervalo entre os pontos de dados.
+ Altere o cálculo que é CloudWatch executado nos dados, como máximo, mínimo, média ou soma.

**nota**  
AWS WAF with CloudFront é um serviço global e as métricas estão disponíveis somente quando você escolhe a região **Leste dos EUA (Norte da Virgínia)** no Console de gerenciamento da AWS. Se você escolher outra região, nenhuma AWS WAF métrica aparecerá no CloudWatch console.

**Para visualizar os dados das regras em um pacote de proteção (ACL da Web)**

1. Faça login no Console de gerenciamento da AWS e abra o CloudWatch console em [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Se necessário, altere a região para aquela em que seus AWS recursos estão localizados. Para CloudFront, escolha a região Leste dos EUA (Norte da Virgínia).

1. No painel de navegação, em **Métricas**, escolha **Todas as métricas** e pesquise na guia **Procurar** por `AWS::WAFV2`. 

1. Marque a caixa de seleção do pacote de proteção (ACL da Web) cujos dados você deseja visualizar.

1. Altere as configurações aplicáveis:  
**Estatística**  
Escolha o cálculo que é CloudWatch executado nos dados.  
**Intervalo de tempo**  
Escolha se você deseja visualizar dados da hora anterior ou das três horas anteriores.  
**Período**  
Escolha o intervalo entre pontos de dados no gráfico.  
**Regras**  
Escolha as regras das quais você deseja visualizar os dados.  
Se você alterar o nome de uma regra e quiser que o nome da métrica da regra reflita a alteração, você também deverá atualizar o nome da métrica. AWS WAF não atualiza automaticamente o nome da métrica de uma regra quando você altera o nome da regra. Você pode alterar o nome da métrica ao editar a regra no console, usando o editor JSON de regras. Você também pode alterar os dois nomes por meio de APIs e em qualquer listagem JSON usada para definir seu pacote de proteção (Web ACL) ou grupo de regras.

   Observe o seguinte:
   + Se você associou recentemente um pacote de proteção (Web ACL) a um AWS recurso, talvez seja necessário aguardar alguns minutos para que os dados apareçam no gráfico e para que a métrica do pacote de proteção (Web ACL) apareça na lista de métricas disponíveis.
   + Se você associar mais de um recurso a um pacote de proteção (Web ACL), os CloudWatch dados incluirão solicitações para todos eles.
   + Você pode passar o cursor do mouse sobre o ponto de dados para obter mais informações.
   + O gráfico não é automaticamente atualizado. Para atualizar a exibição, escolha o ícone de atualização (![\[Icon to refresh the CloudWatch graph\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/cloudwatch-refresh-icon.png)).

Para obter mais informações sobre CloudWatch métricas, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 

# Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs
<a name="web-acl-dashboards"></a>

Esta seção descreve os painéis de visão geral do tráfego do pacote de proteção (ACL da Web) no console do AWS WAF . Depois de associar um pacote de proteção (web ACL) a um ou mais AWS recursos e habilitar métricas para o pacote de proteção (web ACL), você pode acessar resumos do tráfego da web que o pacote de proteção (web ACL) avalia acessando a guia Visão geral do **tráfego** do pacote de proteção (web ACL) no console. AWS WAF Os painéis incluem resumos quase em tempo real das CloudWatch métricas da Amazon que são AWS WAF coletadas quando avalia o tráfego do seu aplicativo na web, incluindo análise especializada de atividades de agentes e bots de IA.

**nota**  
Se nada for exibido nos painéis, verifique se você as métricas estão habilitadas para o pacote de proteção (ACLs da Web). 

A guia **Visão geral do tráfego** do pacote de proteção (ACL da Web) contém painéis com guias que têm as seguintes categorias de informações: 
+ **Principais informações de segurança** — Informações sobre suas AWS WAF proteções AWS WAF obtidas consultando diretamente os registros da Amazon. CloudWatch O resto do painel usa as CloudWatch métricas. Esses insights fornecem informações mais ricas, mas incorrem nos custos adicionais de consultar os registros. CloudWatch Para obter informações sobre os custos adicionais, consulte os [preços do Amazon CloudWatch Logs](https://aws.amazon.com/cloudwatch/pricing/). 
+ **Análise de tráfego de IA** — solicitações da Web analisadas para atividades de bots e agentes de IA, incluindo identificação de bots, classificação de intenções, padrões de acesso e tendências temporais. Essa guia está disponível quando seu pacote de proteção (web ACL) recebe tráfego de bots de IA
+ **Todo o tráfego**: todas as solicitações da Web que o pacote de proteção (ACL da Web) avalia. 

  O foco do painel está no encerramento de ações, mas é possível visualizar as correspondências para as regras de contagem nos seguintes locais: 
  + Painel **Dez principais regras** deste painel. Alterne **Alternar para a contagem de ações** para mostrar as correspondências das regras de contagem. 
  + Guia **Amostras de solicitações** da página do pacote de proteção (ACL da Web). Esta nova guia inclui um gráfico de todas as correspondências de regras. Para mais informações, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 
+ O **DDoAnti-S** — Web solicita que o pacote de proteção (Web ACL) avalie usando o grupo de regras gerenciadas do `AntiDDoSRuleSet` DDo Anti-S.

  Essa guia só estará disponível se você estiver usando esse grupo de regras no pacote de proteção (ACL da Web).
+ **Controle de Bots**: solicitações da Web que o pacote de proteção (ACL da Web) avalia usando o grupo de regras gerenciadas do Controle de Bots. 
+ Se você não estiver usando esse grupo de regras no pacote de proteção (ACL da Web), essa guia mostrará os resultados da avaliação de uma amostra do tráfego da Web em relação às regras do Controle de Bots. Isso lhe dá uma ideia do tráfego de bots que a aplicação recebe, e está disponível gratuitamente. 

  Esse grupo de regras faz parte das opções inteligentes de mitigação de ameaças que AWS WAF oferece. Para obter mais informações, consulte [AWS WAF Controle de bots](waf-bot-control.md) e [AWS WAF Grupo de regras do Bot Control](aws-managed-rule-groups-bot.md).
+ **Prevenção de aquisição de contas** — a Web solicita que o pacote de proteção (web ACL) avalie usando o grupo de regras gerenciado de prevenção de aquisição de contas (ATP) do AWS WAF Fraud Control. Essa guia só estará disponível se você estiver usando esse grupo de regras no pacote de proteção (ACL da Web). 

  O grupo de regras do ATP faz parte das ofertas de mitigação de ameaças inteligentes do AWS WAF . Para obter mais informações, consulte [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md) e [AWS WAF Grupo de regras de prevenção de aquisição de contas (ATP) de controle de fraudes](aws-managed-rule-groups-atp.md).
+ **Prevenção de fraudes na criação de contas** — a Web solicita que o pacote de proteção (web ACL) avalie usando o grupo de regras gerenciado de prevenção de AWS WAF fraudes na criação de contas (ACFP) do Fraud Control. Essa guia só estará disponível se você estiver usando esse grupo de regras no pacote de proteção (ACL da Web). 

  O grupo de regras do ACFP faz parte das ofertas de mitigação de ameaças inteligentes do AWS WAF . Para obter mais informações, consulte [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md) e [AWS WAF Grupo de regras de prevenção de fraudes (ACFP) para criação de contas de controle de fraudes](aws-managed-rule-groups-acfp.md).

Os painéis são baseados nas métricas do pacote de proteção (web ACL), e os gráficos fornecem acesso às CloudWatch métricas correspondentes em. CloudWatch Para os painéis de mitigação inteligente de ameaças, como o Controle de Bots, as métricas usadas são principalmente as métricas de rótulos. 
+ Para obter uma lista das métricas que AWS WAF fornece, consulte[AWS WAF métricas e dimensões](waf-metrics.md).
+ Para obter informações sobre CloudWatch métricas, consulte o [Guia CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/WhatIsCloudWatch.html). 

Os painéis fornecem resumos de seus padrões de tráfego para as ações de encerramento e o intervalo de datas que você seleciona. Os painéis de mitigação inteligente de ameaças incluem solicitações que o grupo de regras gerenciadas correspondente avaliou, independentemente de o próprio grupo de regras gerenciadas ter aplicado a ação de encerramento. Por exemplo, se Block for selecionado, o painel **Prevenção contra apropriação de contas** incluirá informações para todas as solicitações da Web que foram avaliadas pelo grupo de regras gerenciadas do ATP e bloqueadas em algum momento durante a avaliação do pacote de proteção (ACL da Web). As solicitações podem ser bloqueadas pelo grupo de regras gerenciadas do ATP, por uma regra executada após o grupo de regras no pacote de proteção (ACL da Web) ou pela ação padrão do pacote de proteção (ACL da Web). 

# Visualizar os painéis de um pacote de proteção (ACL da Web)
<a name="web-acl-dashboards-accessing"></a>

Siga o procedimento nesta seção para acessar os painéis do pacote de proteção (ACL da Web) e definir os critérios de filtragem de dados. Se você associou recentemente um pacote de proteção (Web ACL) a um AWS recurso, talvez seja necessário aguardar alguns minutos para que os dados sejam disponibilizados nos painéis.

Os painéis incluem as solicitações de todos os recursos que você associou ao pacote de proteção (ACL da Web). 

**Para visualizar os painéis de **Visão geral do tráfego** para um pacote de proteção (ACL da Web)**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **pacotes de proteção (web ACLs)** e, em seguida, pesquise a ACL da web na qual você está interessado. 

1. Selecione o pacote de proteção (ACL da Web). O console leva você para a página do pacote de proteção (ACL da Web). A guia **Visão geral de tráfego** é selecionada por padrão.

1. Altere as configurações dos **Filtros de dados** conforme necessário. 
   + **Ações de regra de encerramento**:Selecione as ações de encerramento a serem incluídas nos painéis. Os painéis resumem as métricas das solicitações da Web que tiveram uma das ações selecionadas aplicadas pela avaliação do pacote de proteção (ACL da Web). Se você selecionar todas as ações disponíveis, os painéis incluirão todas as solicitações web avaliadas. Para obter informações sobre as ações, consulte [Como AWS WAF lida com as ações de regras e grupos de regras](web-acl-rule-actions.md). 
   + **Intervalo de tempo**: selecione o intervalo de tempo a ser visualizado nos painéis. Você pode optar por visualizar um período de tempo relativo a agora, por exemplo, as últimas três horas ou a última semana, e você pode selecionar um intervalo de tempo absoluto em um calendário. 
   + **Fuso horário**: essa configuração se aplica quando você especifica um intervalo de tempo absoluto. Você pode usar o fuso horário local do seu navegador ou UTC (Tempo Universal Coordenado). 

Examine as informações nas guias nas quais você tem interesse. As seleções do filtro de dados se aplicam a todos os painéis. Nos painéis gráficos, você pode passar o cursor sobre um ponto de dados ou uma área para ver detalhes adicionais. 

**Regras de ação Count**  
É possível visualizar informações sobre as correspondências de ações de contagem em um dos dois locais. 
+ Na guia **Visão geral do tráfego**, no painel **Todo o tráfego**, encontre o painel **Dez principais regras** e alterne **Alternar para a contagem de ações**. Com esta opção ativada, o painel mostrará as correspondências de regras de contagem em vez de encerrar as correspondências de regras.
+ Na guia **Amostras de solicitações** do pacote de proteção (ACL da Web), visualize um gráfico de todas as correspondências de regras e ações para o intervalo de tempo definido na guia **Visão geral do tráfego**. Para obter informações sobre a guia **Solicitações de amostra**, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

**CloudWatch Métricas da Amazon**  
Nos painéis gráficos do painel, você pode acessar as CloudWatch métricas dos dados gráficos. Escolha a opção na parte superior do painel gráfico ou no menu suspenso **⋮** (reticências verticais) dentro do painel. 

**Atualização dos painéis**  
Os painéis não são atualizados automaticamente. Para atualizar a exibição, escolha o ícone de atualização ![\[Icon to refresh the dashboard graph\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/cloudwatch-refresh-icon.png).

# Exemplos dos painéis de visão geral do tráfego para pacotes de proteção (web) ACLs
<a name="web-acl-dashboards-screenshots"></a>

Esta seção mostra exemplos de telas dos painéis de visão geral do tráfego para pacotes de proteção (web ACLs). 

**nota**  
Se você já estiver usando AWS WAF para proteger os recursos do seu aplicativo, poderá ver os painéis de qualquer um dos seus pacotes de proteção (web ACLs) em sua página no AWS WAF console. Para mais informações, consulte [Visualizar os painéis de um pacote de proteção (ACL da Web)](web-acl-dashboards-accessing.md).

**Exemplo de tela: filtros de dados e contagem de ações do painel **Todo o tráfego****  
A captura de tela a seguir mostra a visão geral do tráfego de um pacote de proteção (ACL da Web) com a guia **Todo o tráfego** selecionada. Os filtros de dados são definidos de acordo com os padrões: todas as ações de encerramento nas últimas três horas. 

Dentro do painel de todo o tráfego estão os totais de ações das várias ações de encerramento. Cada painel lista a contagem de solicitações e mostra uma up/down seta indicando a alteração desde o período anterior de três horas. 

![\[O AWS WAF console mostra a página do pacote de proteção (Web ACL), guia Visão geral do tráfego, com os filtros de dados padrão selecionados. As opções de ação da regra de encerramento são Block, Allow, CAPTCHA e Challenge. Abaixo da seção de filtros de dados, há guias para todo o tráfego, Controle de Bots e prevenção contra apropriação de contas.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/web-acl-dashboard-data-filters-default-top-actions.png)


**Exemplo de tela: contagem de ações do painel do **Controle de Bots****  
A captura de tela a seguir mostra as contagens de ações do painel do Controle de Bots. Isso mostra os mesmos painéis de totais para o intervalo de tempo, mas as contagens são apenas para solicitações que o grupo de regras do Controle de Bots avaliou. Mais abaixo, no painel **Totais de ações**, você pode ver as contagens de ações em todo o intervalo de tempo especificado de três horas. Nesse intervalo de tempo, a ação CAPTCHA não foi aplicada a nenhuma das solicitações avaliadas pelo grupo de regras.

![\[O AWS WAF console mostra a parte superior do painel de controle de bots, com totais de ações para o intervalo de tempo e totais de ações em todo o intervalo de tempo.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/web-acl-dashboard-bot-action-totals.png)


**Tela de exemplo: contagem de ações **do painel AI Traffic Analysis****  
A captura de tela a seguir mostra o painel AI Traffic Analysis para um pacote de proteção (web ACL). O painel mostra a atividade do bot de IA no intervalo de tempo selecionado com filtros para organização, tipo de intenção e status de verificação do bot.

![\[O AWS WAF console mostra a parte superior do painel de análise de tráfego de IA, com os principais rastreadores e os principais caminhos para o intervalo de tempo e os totais de ações em todo o intervalo de tempo.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/waf-phantom-edge-dashboard.png)


O painel inclui:
+ **Painel de identidade de bots** — lista bots de IA detectados com nomes e organizações
+ **Classificação de intenção** — categoriza as finalidades do bot (rastreamento, indexação, pesquisa etc.)
+ **Padrões de acesso** — Os mais URLs acessados pelos agentes de IA com contagens de solicitações
+ **Análise temporal** — tendências de atividades diárias e horárias com visão histórica de 14 dias
+ **Detalhamento da organização** — Volume de tráfego por organização proprietária do bot

**Exemplo de tela: gráficos de resumo de status de token do painel do **Controle de Bots****  
A captura de tela a seguir mostra dois dos gráficos resumidos disponíveis no painel do Controle de Bots. O painel **Status do token** mostra as contagens dos vários rótulos de status do token, emparelhados com a ação da regra que foi aplicada à solicitação. O painel de **limites ausentes do token IP** mostra dados de solicitações IPs que estavam enviando muitas solicitações sem um token. 

Passar o mouse sobre qualquer área no gráfico exibe os detalhes das informações disponíveis. No painel de **Status do token** nesta captura de tela, o mouse está passando sobre um ponto no tempo, sem estar em nenhuma linha do gráfico, então o console exibe os dados de todas as linhas naquele momento. 

![\[O AWS WAF console mostra dois painéis para status do token e limites de ausência do token IP, com linhas gráficas semelhantes para solicitações bloqueadas e contestadas em cada painel. O painel de Status do token também tem um gráfico para as solicitações permitidas.\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/images/web-acl-dashboard-bot-token-panes.png)


Esta seção mostra apenas alguns dos resumos de tráfego fornecidos nos painéis de visão geral do tráfego do pacote de proteção (ACL da Web). Para ver os painéis de qualquer um dos seus pacotes de proteção (web ACLs), abra a página do pacote de proteção (web ACL) no console. Para obter informações sobre como fazer isso, consulte as orientações em [Visualizar os painéis de um pacote de proteção (ACL da Web)](web-acl-dashboards-accessing.md).

# Visualizar um exemplo de solicitações da web
<a name="web-acl-testing-view-sample"></a>

Esta seção descreve a guia **Amostras de solicitações** do pacote de proteção (Web ACL) no AWS WAF console. Nessa guia, você pode ver um gráfico de todas as correspondências de regras para solicitações da web que AWS WAF foram inspecionadas. Além disso, se você tiver a amostragem de solicitações ativada para o pacote de proteção (Web ACL), poderá ver uma exibição em tabela de uma amostra das solicitações da Web que AWS WAF foram inspecionadas. Você também pode recuperar amostras de informações de solicitação por meio da chamada de API `GetSampledRequests`.

Os exemplos contém até 100 solicitações que correspondem aos critérios para uma regra no pacote de proteção (ACL da Web) e outras 100 solicitações para solicitações que não correspondem a nenhuma regra e tiveram a ação padrão do pacote de proteção (ACL da Web) aplicada. As solicitações na amostra vêm de todos os recursos protegidos que receberam solicitações para seu conteúdo nas últimas três horas. 

Quando uma solicitação da web corresponde aos critérios de uma regra e a ação dessa regra não encerra a avaliação da solicitação, AWS WAF continua inspecionando a solicitação da web usando as regras subsequentes no pacote de proteção (ACL da web). Por esse motivo, uma solicitação da Web pode aparecer diversas vezes. Para obter informações sobre os comportamentos de ações de regras, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

**Como visualizar o gráfico de todas as regras e as solicitações de amostra**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **pacotes de proteção (web ACLs)**.

1. Escolha o nome do pacote de proteção (ACL da Web) cujas solicitações você deseja visualizar. O console leva você para a descrição do pacote de proteção (ACL da Web), onde é possível editá-lo.

1. Na guia **Solicitações de amostra**, é possível visualizar o seguinte: 
   + **Gráfico de todas as regras**: este gráfico mostra as regras e as ações de regras correspondentes para todas as avaliações de solicitações da Web que foram executadas durante o intervalo de tempo indicado. 
**nota**  
O intervalo de tempo para este gráfico é definido na guia **Visão geral do tráfego** para o pacote de proteção (ACL da Web), na seção **Filtros de dados**. Para mais informações, consulte [Visualizar os painéis de um pacote de proteção (ACL da Web)](web-acl-dashboards-accessing.md). 
   + **Tabela de solicitações de amostra**: esta tabela exibe dados de solicitações de amostra das últimas três horas. 
**nota**  
Se os exemplos de um grupo de regras gerenciadas que você espera ver não forem exibidos, consulte a seção abaixo deste procedimento. 

     Para cada entrada, a tabela exibe os seguintes dados:  
**Nome da métrica**  
O nome da CloudWatch métrica da regra no pacote de proteção (Web ACL) que correspondeu à solicitação. Se uma solicitação da Web não corresponder a nenhuma regra no pacote de proteção (ACL da Web), esse valor será **Padrão**.  
Se você alterar o nome de uma regra e quiser que o nome da métrica da regra reflita a alteração, você também deverá atualizar o nome da métrica. AWS WAF não atualiza automaticamente o nome da métrica de uma regra quando você altera o nome da regra. Você pode alterar o nome da métrica ao editar a regra no console, usando o editor JSON de regras. Você também pode alterar os dois nomes por meio de APIs e em qualquer listagem JSON usada para definir seu pacote de proteção (Web ACL) ou grupo de regras.  
**IP de origem**  
O endereço IP da qual a solicitação se originou ou, se o visualizador tiver usado um proxy HTTP ou um Application Load Balancer para enviar a solicitação, o endereço IP do proxy ou do Application Load Balancer.   
**URI**  
A parte de um URL que identifica um recurso, como `/images/daily-ad.jpg`.  
**Regra dentro de grupo de regras**  
Se o nome da métrica identificar uma instrução de referência do grupo de regras, isso identificará a regra dentro do grupo de regras que correspondeu à solicitação.   
**Ação**  
Indica a ação para a regra correspondente. Para obter informações sobre as possíveis ações de regras, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).  
Exemplos de solicitações de regras com a ação de contagem em grupos de regras não estão disponíveis na visualização Web ACL. Métricas de contagem e amostras de solicitações de regras de grupos de regras só são visíveis para o proprietário do grupo de regras.  
**Hora**  
A hora em que AWS WAF recebeu a solicitação do recurso protegido. 

     Para exibir informações adicionais sobre os componentes de uma solicitação da Web, escolha o nome do URI na linha da solicitação.

**Exemplos de amostras de solicitações para regras em grupos de regras gerenciadas**  
O console mostra métricas para grupos de regras com “regra dentro do grupo de regras” especificando a regra que foi acionada. Você pode visualizar as métricas dos conjuntos de regras e regras de ação padrão usando a configuração mais recente`RuleActionOverrides`. Para regras que usam a `ExcludedRules` configuração mais antiga, selecione a regra específica dentro do conjunto de regras no menu suspenso de regras de métricas de **solicitações de amostra**.

Se você encontrar configurações mais antigas, substitua-as pelas novas para começar a disponibilizar as amostras solicitações por meio do console. Você pode fazer isso por meio do console editando o grupo de regras gerenciadas no pacote de proteção (ACL da Web) e salvando-o. O AWS WAF substitui automaticamente todas as configurações mais antigas pelas configurações `RuleActionOverrides` e define a substituição da ação da regra como Count. Para saber mais sobre essas configurações, consulte [Lista JSON: `RuleActionOverrides` substitui `ExcludedRules`](web-acl-rule-group-override-options.md#web-acl-rule-group-override-replaces-exclude).

Você pode acessar exemplos de solicitações para uma regra que tenha a substituição antiga em vigor por meio da API AWS WAF REST ou da linha SDKs de comando. Para obter informações, consulte [GetSampledRequests](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetSampledRequests.html)a *Referência AWS WAF da API*.

Veja a seguir a sintaxe para a solicitação na linha de comando: 

```
aws wafv2 get-sampled-requests \
  --web-acl-arn webACL ARN \
  --rule-metric-name Metric name of the rule in the managed rule group \
  --scope=REGIONAL or CLOUDFRONT \
  --time-window StartTime=UTC timestamp,EndTime=UTC timestamp \
  --max-items 100
```

# Ativando suas proteções na produção
<a name="web-acl-testing-enable-production"></a>

Esta seção fornece instruções para ativar suas proteções ajustadas na produção.

Quando você terminar a etapa final de testes e ajustes em seu ambiente de produção, ative suas proteções no modo de produção.

**Risco de tráfego de produção**  
Antes de implantar sua implementação do pacote de proteção (ACL da Web) para tráfego de produção, teste-a e ajuste-a em um ambiente de teste até se sentir confortável com o impacto potencial em seu tráfego. Além disso, teste e ajuste-o no modo de contagem com seu tráfego de produção antes de ativar suas proteções para o tráfego de produção. 

**nota**  
Para seguir as orientações desta seção, você precisa entender geralmente como criar e gerenciar AWS WAF proteções, como pacotes de proteção (web ACLs), regras e grupos de regras. Essas informações são abordadas nas seções anteriores deste guia.

Execute estas etapas primeiro em seu ambiente de teste e depois na produção.

**Ative suas AWS WAF proteções na produção**

1. 

**Mude para suas proteções de produção**

   Atualize seu pacote de proteção (ACL da Web) e alterne as configurações para produção. 

   1. 

**Remova todas as regras de teste que você não precisa**

      Se você adicionou regras de teste que não são necessárias na produção, remova-as. Se você estiver usando alguma regra de correspondência de rótulos para filtrar os resultados das regras do grupo de regras gerenciadas, deixe-as em vigor. 

   1. 

**Mude para ações de produção**

      Altere as configurações de ação das novas regras para as configurações de produção pretendidas. 
      + **Regra definida no pacote de proteção (ACL da Web)**: edite as regras no pacote de proteção (ACL da Web) e altere suas ações de Count para suas ações de produção. 
      + **Grupo de regras**: na configuração de pacote de proteção (ACL da Web) do grupo de regras, alterne as regras para usar suas próprias ações ou deixe-as com a substituição da ação Count, de acordo com os resultados de suas atividades de teste e ajuste. Se você estiver usando uma regra de correspondência de rótulos para filtrar os resultados de uma regra de grupo de regras, certifique-se de deixar a substituição dessa regra em vigor. 

        Para passar a usar a ação de uma regra, na configuração do pacote de proteção (ACL da Web), edite a instrução da regra para o grupo de regras e remova a substituição Count para a regra. Se você gerenciar o pacote de proteção (ACL da Web) em JSON, na instrução referencia o grupo de regras, remova a entrada da regra da lista `RuleActionOverrides`. 
      + **pacote de proteção (ACL da Web)**: se você alterou a ação padrão do pacote de proteção (ACL da Web) para seus testes, alterne-a para sua configuração de produção. 

      Com essas configurações, suas novas proteções gerenciarão o tráfego da web conforme você pretende. 

   Quando você salva o pacote de proteção (ACL da Web), os recursos aos quais ele está associado usarão as configurações de produção. 

1. 

**Monitore e ajuste**

   Para ter certeza de que as solicitações da web estão sendo tratadas como você deseja, monitore de perto seu tráfego depois de ativar a nova funcionalidade. Você monitorará métricas e logs de suas ações de regras de produção, em vez das ações de contagem que estava monitorando em seu trabalho de ajuste. Continue monitorando e ajuste o comportamento conforme necessário para se adaptar às mudanças no seu tráfego da web. 

# Usando AWS WAF com a Amazon CloudFront
<a name="cloudfront-features"></a>

Saiba como usar AWS WAF com os CloudFront recursos da Amazon.

Ao criar um pacote de proteção (web ACL), você pode especificar uma ou mais CloudFront distribuições que deseja AWS WAF inspecionar. CloudFront suporta dois tipos de distribuições: distribuições padrão que protegem locatários individuais e distribuições multilocatárias que protegem vários locatários por meio de um único modelo de configuração compartilhado. AWS WAF inspeciona solicitações da web para os dois tipos de distribuição com base nas regras que você define em seus pacotes de proteção (web ACLs), com padrões de implementação diferentes para cada tipo.

**Topics**
+ [

## Como AWS WAF funciona com diferentes tipos de distribuição
](#cloudfront-features-distribution-types)
+ [

## Usando AWS WAF com CloudFront planos de preços fixos
](#waf-cf-pricing-plans)
+ [

# Casos de uso comuns para proteger CloudFront distribuições com AWS WAF
](cloudfront-waf-use-cases.md)

## Como AWS WAF funciona com diferentes tipos de distribuição
<a name="cloudfront-features-distribution-types"></a>

### Tipos de distribuição
<a name="distribution-types-overview"></a>

AWS WAF fornece recursos de firewall de aplicativos web para distribuições de distribuição CloudFront padrão e multilocatário.

#### Distribuições padrão
<a name="standard-distribution-overview"></a>

Para distribuições padrão, AWS WAF adiciona proteção usando um único pacote de proteção (Web ACL) para cada distribuição. Você pode ativar essa proteção associando um pacote de proteção existente (web ACL) a uma CloudFront distribuição ou usando a proteção de um clique no console. CloudFront Isso possibilita gerenciar os controles de segurança de cada distribuição de modo independente, pois qualquer alteração em um pacote de proteção (ACL da Web) afetará somente a distribuição associada a ele.

Esse método simples de proteger CloudFront distribuições é ideal para fornecer proteções específicas a domínios individuais a partir de um único pacote de proteção (Web ACL).

##### Considerações sobre a distribuição padrão
<a name="standard-waf-considerations"></a>
+ Alterações em um pacote de proteção (ACL da Web) afetam somente a distribuição a ele associada
+ Cada distribuição requer uma configuração de pacote de proteção independente (ACL da Web)
+ As regras e os grupos de regras são gerenciados separadamente para cada distribuição

#### Distribuições multilocatário
<a name="tenant-distribution-overview"></a>

Para distribuições multilocatárias, AWS WAF adiciona proteção em vários domínios usando um único pacote de proteção (Web ACL). Os domínios gerenciados por distribuições multilocatárias são conhecidos como locatários da distribuição. Você só pode ativar a AWS WAF proteção para distribuições multilocatárias no CloudFront console, durante ou após o processo de criação da distribuição multilocatária. No entanto, as alterações em um pacote de proteção (Web ACL) ainda são gerenciadas por meio do AWS WAF console ou da API. 

As distribuições multilocatárias oferecem a flexibilidade de permitir AWS WAF proteções em dois níveis:
+ **Nível de distribuição multilocatário** — Os pacotes de proteção associados (web ACLs) fornecem controles de segurança básicos que se aplicam a todos os aplicativos que compartilham essa distribuição
+ **Nível de locatário de distribuição** — inquilinos individuais em uma distribuição multilocatária podem ter seus próprios pacotes de proteção (web ACLs) para implementar controles de segurança adicionais ou substituir as configurações de distribuição multilocatário

Esses dois níveis tornam as distribuições multilocatárias ideais para compartilhar AWS WAF proteções em vários domínios sem perder a capacidade de personalizar a segurança de uma distribuição individual. 

#### Considerações sobre a distribuição multilocatária
<a name="tenant-waf-considerations"></a>
+ Locatários de distribuição individuais herdam as alterações feitas nos pacotes de proteção (web ACLs) que estão associados a distribuições multilocatárias relacionadas
+ Os pacotes de proteção (web ACLs) associados a locatários de distribuição específicos podem substituir as configurações definidas no nível do pacote de proteção multilocatário (Web ACL)
+ Os grupos de regras gerenciados podem ser implementados no nível da distribuição e no nível do locatário da distribuição
+ É possível localizar nos logs os identificadores de aplicação para rastrear eventos de segurança por distribuição

### AWS WAF recursos por tipo de distribuição
<a name="distribution-types-comparison"></a>


**Comparar implementações de pacote de proteção (ACL da Web)**  

| AWS WAF Característica | Distribuições padrão | Distribuições multilocatárias | 
| --- | --- | --- | 
| Associando pacotes de proteção (web) ACLs | Um único pacote de proteção (ACL da Web) por distribuição | Você pode compartilhar pacotes de proteção (web ACLs) entre locatários, com pacotes de proteção opcionais específicos para inquilinos (web) ACLs | 
| Gerenciamento de regras | As regras afetam uma única distribuição | As regras da distribuição multilocatária afetam todos os locatários associados; as regras da distribuição específica do locatário afetam apenas esse locatário | 
| Grupos de regras gerenciadas | Aplicados a distribuições individuais | Podem ser utilizados no nível da distribuição multilocatária a todos os locatários ou no nível do locatário a aplicações específicas | 
| Registro em log |  AWS WAF Registros padrão | Os logs incluem identificadores de locatários para atribuição de eventos de segurança | 

## Usando AWS WAF com CloudFront planos de preços fixos
<a name="waf-cf-pricing-plans"></a>

CloudFront os planos de preços fixos combinam a rede CloudFront global de entrega de conteúdo (CDN) da Amazon com vários Serviços da AWS recursos em um preço mensal sem cobranças extras, independentemente de picos de tráfego ou ataques.

Os planos de preços fixos incluem o seguinte Serviços da AWS e os recursos por um preço mensal simples:
+ CloudFront CDN
+ AWS WAF e proteção DDo S
+ Gerenciamento e analytics de bots
+ DNS do Amazon Route 53
+ Ingestão CloudWatch de Amazon Logs
+ Certificado TLS
+ Computação de borda sem servidor
+ Créditos mensais de armazenamento do Amazon S3

Os planos estão disponíveis nos níveis Gratuito, Profissional, Negócios e Premium para atender às necessidades da sua aplicação. Os planos não precisam de um compromisso anual para obter as melhores tarifas disponíveis. Comece com o plano gratuito e faça a atualização para ter acesso a mais recursos e maiores limites de uso.

Para obter mais informações e uma lista completa de planos e recursos, consulte os planos [CloudFront de preços fixos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) no *Amazon CloudFront Developer Guide*.

**Importante**  
Um pacote de AWS WAF proteção válido (web ACL) deve permanecer associado à sua CloudFront distribuição ao usar qualquer plano de preços. Você não pode remover a associação do pacote de proteção (Web ACL), a menos que volte aos pay-as-you-go preços.  
Embora uma ACL AWS WAF da web deva permanecer associada à sua distribuição, você mantém controle total sobre sua configuração de segurança. Você pode personalizar sua proteção ajustando quais regras estão ativadas ou desativadas na sua ACL da web e modificar as configurações das regras para que correspondam aos seus requisitos de segurança. Para obter informações sobre como gerenciar regras de ACL da web, consulte [AWS WAF Regras](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).

# Casos de uso comuns para proteger CloudFront distribuições com AWS WAF
<a name="cloudfront-waf-use-cases"></a>

Os AWS WAF recursos a seguir funcionam da mesma forma para todas as CloudFront distribuições. As considerações sobre distribuições multilocatárias estão listadas após cada cenário de atributo.

## Usando AWS WAF com páginas de erro CloudFront personalizadas
<a name="cloudfront-features-custom-error-pages"></a>

Por padrão, quando AWS WAF bloqueia uma solicitação da Web com base nos critérios que você especifica, ela retorna o código de status HTTP `403 (Forbidden)` para CloudFront e CloudFront retorna esse código de status para o visualizador. O visualizador, em seguida, exibirá uma breve mensagem padrão esparsamente formatada, semelhante à seguinte:

```
Forbidden: You don't have permission to access /myfilename.html on this server.
```

Você pode substituir esse comportamento nas regras do pacote de AWS WAF proteção (Web ACL) definindo respostas personalizadas. Para obter mais informações sobre como personalizar o comportamento de resposta usando AWS WAF regras, consulte[Como enviar respostas personalizadas para ações Block](customizing-the-response-for-blocked-requests.md).

**nota**  
As respostas que você personaliza usando AWS WAF regras têm precedência sobre qualquer especificação de resposta que você define nas páginas de erro CloudFront personalizadas.

Se você preferir exibir uma mensagem de erro personalizada CloudFront, possivelmente usando a mesma formatação do resto do seu site, você pode configurar CloudFront para retornar ao visualizador um objeto (por exemplo, um arquivo HTML) que contém sua mensagem de erro personalizada.

**nota**  
CloudFront não consigo distinguir entre um código de status HTTP 403 que é retornado pela sua origem e um que é retornado AWS WAF quando uma solicitação é bloqueada. Isso significa que você não pode retornar diferentes páginas de erro personalizadas com base em diferentes causas de um código de status HTTP 403.

Para obter mais informações sobre páginas de erro CloudFront personalizadas, consulte [Geração de respostas de erro personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) no *Amazon CloudFront Developer Guide*.

### Páginas de erros personalizadas em distribuições multilocatárias
<a name="custom-error-pages-template-distributions"></a>

Para distribuições CloudFront multilocatárias, você pode configurar páginas de erro personalizadas das seguintes formas:
+ No nível da distribuição multilocatária: essas configurações se aplicam a todas as distribuições multilocatárias que usam o modelo de distribuição multilocatária
+ Por meio de AWS WAF regras - as respostas personalizadas definidas nos pacotes de proteção (web ACLs) têm precedência sobre a distribuição de vários locatários e sobre as páginas de erro personalizadas em nível de inquilino

## Usando AWS WAF with CloudFront para aplicativos executados em seu próprio servidor HTTP
<a name="cloudfront-features-your-own-http-server"></a>

Ao usar AWS WAF com CloudFront, você pode proteger seus aplicativos em execução em qualquer servidor web HTTP, seja um servidor web executado na Amazon Elastic Compute Cloud (Amazon EC2) ou um servidor web que você gerencia de forma privada. Você também pode configurar CloudFront para exigir HTTPS CloudFront entre seu próprio servidor web, bem como entre visualizadores e. CloudFront

**Exigindo HTTPS entre CloudFront e seu próprio servidor web**  
Para exigir HTTPS entre CloudFront e seu próprio servidor web, você pode usar o recurso de origem CloudFront personalizada e definir a **Política de Protocolo de Origem** e as configurações do **Nome de Domínio de Origem** para origens específicas. Na sua CloudFront configuração, você pode especificar o nome DNS do servidor junto com a porta e o protocolo que você deseja usar CloudFront ao buscar objetos da sua origem. Você também deve garantir que o SSL/TLS certificado em seu servidor de origem personalizado corresponda ao nome de domínio de origem que você configurou. Ao usar seu próprio servidor web HTTP fora do AWS, você deve usar um certificado assinado por uma autoridade de certificação (CA) terceirizada confiável, por exemplo, Comodo ou DigiCert Symantec. Para obter mais informações sobre a exigência de HTTPS para comunicação entre CloudFront e seu próprio servidor web, consulte o tópico [Exigindo HTTPS para comunicação entre CloudFront e sua origem personalizada](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) no *Amazon CloudFront Developer Guide*.

**Exigindo HTTPS entre um visualizador e CloudFront**  
Para exigir HTTPS entre visualizadores e CloudFront, você pode alterar a **Política de Protocolo do Visualizador** para um ou mais comportamentos de cache em sua CloudFront distribuição. Para obter mais informações sobre o uso de HTTPS entre espectadores e CloudFront, consulte o tópico [Exigindo HTTPS para comunicação entre espectadores e CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) no *Amazon CloudFront Developer Guide*. Você também pode trazer seu próprio certificado SSL para que os espectadores possam se conectar à sua CloudFront distribuição via HTTPS usando seu próprio nome de domínio, por exemplo *https://www.mysite.com*. Para obter mais informações, consulte o tópico [Configurando nomes de domínio alternativos e HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) no *Amazon CloudFront Developer Guide*.

Em distribuições multilocatárias, as configurações de método HTTP seguem esta hierarquia:
+ As configurações no nível de modelo definem os métodos HTTP básicos permitidos para todas as distribuições multilocatárias
+ As distribuições de locatários podem substituir essas configurações para:
  + Permita menos métodos do que a distribuição multilocatária (usando AWS WAF regras para bloquear métodos adicionais)
  + Permitir mais métodos se a distribuição multilocatária estiver configurada para ser compatível com eles
+ AWS WAF as regras nos níveis de distribuição multilocatário e de inquilino podem restringir ainda mais os métodos HTTP, independentemente da configuração CloudFront 

## Escolhendo os métodos HTTP que CloudFront respondem a
<a name="cloudfront-features-allowed-http-methods"></a>

Ao criar uma distribuição CloudFront web da Amazon, você escolhe os métodos HTTP que deseja CloudFront processar e encaminhar para sua origem. Você pode escolher entre as seguintes opções:
+ **`GET`, `HEAD`** — Você pode usar CloudFront somente para obter objetos de sua origem ou para obter cabeçalhos de objetos.
+ **`GET`,`HEAD`, `OPTIONS`** — Você pode usar CloudFront somente para obter objetos da sua origem, obter cabeçalhos de objetos ou recuperar uma lista das opções suportadas pelo seu servidor de origem.
+ **`GET`,`HEAD`,`OPTIONS`,`PUT`,`POST`,`PATCH`, `DELETE`** — Você pode usar CloudFront para obter, adicionar, atualizar e excluir objetos e para obter cabeçalhos de objetos. Além disso, você pode executar outras operações de `POST`, como enviar dados de um formulário da web.

Você também pode usar instruções de regra de correspondência de AWS WAF bytes para permitir ou bloquear solicitações com base no método HTTP, conforme descrito em[Instrução de regra de correspondência de string](waf-rule-statement-type-string-match.md). Se você quiser usar uma combinação de métodos que CloudFront ofereça suporte`HEAD`, como `GET` e, não precisará configurar AWS WAF para bloquear solicitações que usem os outros métodos. Se você quiser permitir uma combinação de métodos que CloudFront não oferece suporte, como,, e `GET` `HEAD``POST`, você pode configurar CloudFront para responder a todos os métodos e, em seguida, usar AWS WAF para bloquear solicitações que usam outros métodos.

Para obter mais informações sobre como escolher os métodos que CloudFront respondem, consulte [Métodos HTTP permitidos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) no tópico [Valores que você especifica ao criar ou atualizar uma distribuição na Web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) no *Amazon CloudFront Developer Guide*.

**Configurações de método HTTP permitidas em distribuições multilocatárias**  
Para distribuições multilocatárias, as configurações de método HTTP definidas no nível da distribuição multilocatária se aplicam, por padrão, a todas as distribuições de locatários. As distribuições de locatários podem substituir essas configurações se necessário.
+ Se você quiser usar uma combinação de métodos que CloudFront ofereça suporte, como `GET` e`HEAD`, não é necessário configurar AWS WAF para bloquear solicitações que usam outros métodos.
+ Se você quiser permitir uma combinação de métodos que CloudFront não são compatíveis por padrão, como,, e `GET` `HEAD``POST`, você pode configurar CloudFront para responder a todos os métodos e, em seguida, usar AWS WAF para bloquear solicitações que usam outros métodos.

Ao implementar cabeçalhos de segurança em distribuições multilocatárias, considere o seguinte:
+ Os cabeçalhos de segurança no nível do modelo fornecem proteção básica em todas as distribuições de locatários
+ As distribuições de locatários podem:
  + Adicionar novos cabeçalhos de segurança não definidos na distribuição multilocatária
  + Modificar os valores dos cabeçalhos específicos do locatário
  + Não é possível remover ou substituir os cabeçalhos de segurança definidos no nível da distribuição multilocatária
+ Considere o uso de cabeçalhos do nível da distribuição multilocatária para controles de segurança críticos que devem ser aplicados a todos os locatários

## Considerações sobre tamanho
<a name="cloudfront-features-logging"></a>

As distribuições padrão e multilocatário oferecem suporte à AWS WAF geração de registros, mas há diferenças importantes na forma como os registros são estruturados e gerenciados:


**Comparação entre registros em log**  

| Distribuições padrão | Distribuições multilocatárias | 
| --- | --- | 
| Uma única configuração de log por distribuição | Opções de registro em log no nível do modelo e do locatário | 
| Campos padrão do log | Campos adicionais de identificação de locatário | 
| Um único destino por distribuição | Destinos possivelmente separados para logs de distribuições multilocatárias e logs de locatários | 

## Recursos adicionais do
<a name="cloudfront-saas-additional-resources"></a>
+ *Para saber mais sobre distribuições multilocatárias, consulte [Configurar distribuições no](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) Amazon Developer Guide. CloudFront *
+ Para saber mais sobre como usar AWS WAF com CloudFront, consulte Como [usar a AWS WAF proteção](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.
+ Para saber mais sobre AWS WAF registros, consulte[Campos do log para tráfego do pacote de proteção (ACL da Web)](logging-fields.md).

# Segurança no uso do AWS WAF serviço
<a name="security"></a>

Esta seção explica como o modelo de responsabilidade compartilhada se aplica AWS WAF a.

A segurança na nuvem AWS é a maior prioridade. Como AWS cliente, você se beneficia de uma arquitetura de data center e rede criada para atender aos requisitos das organizações mais sensíveis à segurança.

**nota**  
Esta seção fornece diretrizes AWS de segurança padrão para o uso do AWS WAF serviço e de seus AWS recursos, como pacotes de AWS WAF proteção (web ACLs) e grupos de regras.   
Para obter informações sobre como proteger seus AWS recursos usando AWS WAF, consulte o restante do AWS WAF guia. 

A segurança é uma responsabilidade compartilhada entre você AWS e você. O [modelo de responsabilidade compartilhada](https://aws.amazon.com/compliance/shared-responsibility-model/) descreve isto como segurança *da* nuvem e segurança *na* nuvem.
+ **Segurança da nuvem** — AWS é responsável por proteger a infraestrutura que executa AWS os serviços no Nuvem AWS. AWS também fornece serviços que você pode usar com segurança. A eficácia da nossa segurança é regularmente testada e verificada por auditores de terceiros como parte dos [Programas de conformidade da AWS](https://aws.amazon.com/compliance/programs/). Para saber mais sobre os programas de conformidade aplicáveis AWS WAF, consulte [AWS Serviços no escopo por programa de conformidade](https://aws.amazon.com/compliance/services-in-scope/).
+ **Segurança na nuvem** — Sua responsabilidade é determinada pelo AWS serviço que você usa. Também existe a responsabilidade por outros fatores, incluindo a confidencialidade de dados, os requisitos da organização e as leis e regulamentos aplicáveis. 

Esta documentação ajuda você a entender como aplicar o modelo de responsabilidade compartilhada ao usar AWS WAF. Os tópicos a seguir mostram como configurar para atender AWS WAF aos seus objetivos de segurança e conformidade. Você também aprenderá a usar outros AWS serviços que ajudam a monitorar e proteger seus AWS WAF recursos. 

**Topics**
+ [

# Protegendo seus dados em AWS WAF
](data-protection.md)
+ [

# Usando o IAM com AWS WAF
](security-iam.md)
+ [

# Registro e monitoramento em AWS WAF
](waf-incident-response.md)
+ [

# Validando a conformidade em AWS WAF
](waf-compliance.md)
+ [

# Construindo para resiliência em AWS WAF
](disaster-recovery-resiliency.md)
+ [

# Segurança da infraestrutura em AWS WAF
](infrastructure-security.md)

# Protegendo seus dados em AWS WAF
<a name="data-protection"></a>

O modelo de [responsabilidade AWS compartilhada modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica à proteção de dados em AWS WAF. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para saber mais sobre a privacidade de dados, consulte as [Data Privacy FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Para saber mais sobre a proteção de dados na Europa, consulte a postagem do blog [AWS Shared Responsibility Model and RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) no *Blog de segurança da AWS *.

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com Centro de Identidade do AWS IAM ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
+ Use uma autenticação multifator (MFA) com cada conta.
+ Use SSL/TLS para se comunicar com AWS os recursos. Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como [trabalhar com CloudTrail trilhas](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) no *Guia AWS CloudTrail do usuário*.
+ Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
+ Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sensíveis armazenados no Amazon S3.
+ Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para saber mais sobre os endpoints FIPS disponíveis, consulte [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sensíveis, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo **Nome**. Isso inclui quando você trabalha com AWS WAF ou Serviços da AWS usa o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

AWS WAF entidades — como pacotes de proteção (web ACLs), grupos de regras e conjuntos de IP — são criptografadas em repouso, exceto em determinadas regiões onde a criptografia não está disponível, incluindo China (Pequim) e China (Ningxia). Chaves de criptografia exclusivas são usadas para cada região. 

## Excluindo recursos AWS WAF
<a name="deleting-resources"></a>

Você pode excluir os recursos que você criou no AWS WAF. Consulte as orientações para cada tipo de recurso nas seções abaixo.
+ [Excluir um pacote de proteção (ACL da Web)](web-acl-deleting.md)
+ [Excluir um grupo de regras](waf-rule-group-deleting.md)
+ [Excluir um conjunto de IP](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Excluir um conjunto de padrões regex](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Usando o IAM com AWS WAF
<a name="security-iam"></a>

Esta seção explica como usar o IAM com AWS WAF.



AWS Identity and Access Management (IAM) é uma ferramenta AWS service (Serviço da AWS) que ajuda o administrador a controlar com segurança o acesso aos AWS recursos. Os administradores do IAM controlam quem pode ser *autenticado* (conectado) e *autorizado* (tem permissões) a usar AWS WAF os recursos. O IAM é um AWS service (Serviço da AWS) que você pode usar sem custo adicional.

**Topics**
+ [

## Público
](#security_iam_audience)
+ [

## Autenticação com identidades
](#security_iam_authentication)
+ [

## Gerenciar o acesso usando políticas
](#security_iam_access-manage)
+ [

# Como AWS WAF funciona com o IAM
](security_iam_service-with-iam.md)
+ [

# Exemplos de políticas baseadas em identidade para AWS WAF
](security_iam_id-based-policy-examples.md)
+ [

# AWS políticas gerenciadas para AWS WAF
](security-iam-awsmanpol.md)
+ [

# Solução de problemas AWS WAF de identidade e acesso
](security_iam_troubleshoot.md)
+ [

# Usando funções vinculadas a serviços para AWS WAF
](using-service-linked-roles.md)

## Público
<a name="security_iam_audience"></a>

A forma como você usa AWS Identity and Access Management (IAM) difere com base na sua função:
+ **Usuário do serviço**: solicite permissões ao seu administrador se você não conseguir acessar os atributos (consulte [Solução de problemas AWS WAF de identidade e acesso](security_iam_troubleshoot.md)).
+ **Administrador do serviço**: determine o acesso do usuário e envie solicitações de permissão (consulte [Como AWS WAF funciona com o IAM](security_iam_service-with-iam.md))
+ **Administrador do IAM**: escreva políticas para gerenciar o acesso (consulte [Exemplos de políticas baseadas em identidade para AWS WAF](security_iam_id-based-policy-examples.md))

## Autenticação com identidades
<a name="security_iam_authentication"></a>

A autenticação é a forma como você faz login AWS usando suas credenciais de identidade. Você deve estar autenticado como usuário do IAM ou assumindo uma função do IAM. Usuário raiz da conta da AWS

Você pode fazer login como uma identidade federada usando credenciais de uma fonte de identidade como Centro de Identidade do AWS IAM (IAM Identity Center), autenticação de login único ou credenciais. Google/Facebook Para ter mais informações sobre como fazer login, consulte [Como fazer login em sua Conta da AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) no *Guia do usuário do Início de Sessão da AWS *.

Para acesso programático, AWS fornece um SDK e uma CLI para assinar solicitações criptograficamente. Para ter mais informações, consulte [AWS Signature Version 4 para solicitações de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) no *Guia do usuário do IAM*.

### Conta da AWS usuário root
<a name="security_iam_authentication-rootuser"></a>

 Ao criar um Conta da AWS, você começa com uma identidade de login chamada *usuário Conta da AWS raiz* que tem acesso completo a todos Serviços da AWS os recursos. É altamente recomendável não usar o usuário-raiz em tarefas diárias. Consulte as tarefas que exigem credenciais de usuário-raiz em [Tarefas que exigem credenciais de usuário-raiz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) no *Guia do usuário do IAM*. 

### Identidade federada
<a name="security_iam_authentication-federated"></a>

Como prática recomendada, exija que os usuários humanos usem a federação com um provedor de identidade para acessar Serviços da AWS usando credenciais temporárias.

Uma *identidade federada* é um usuário do seu diretório corporativo, provedor de identidade da web ou Directory Service que acessa Serviços da AWS usando credenciais de uma fonte de identidade. As identidades federadas assumem funções que oferecem credenciais temporárias.

Para o gerenciamento de acesso centralizado, recomendamos Centro de Identidade do AWS IAM. Para saber mais, consulte [O que é o IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) no *Guia do usuário do Centro de Identidade do AWS IAM *.

### Usuários e grupos do IAM
<a name="security_iam_authentication-iamuser"></a>

Um *[usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* é uma identidade com permissões específicas para uma única pessoa ou aplicação. É recomendável usar credenciais temporárias, em vez de usuários do IAM com credenciais de longo prazo. Para obter mais informações, consulte [Exigir que usuários humanos usem a federação com um provedor de identidade para acessar AWS usando credenciais temporárias](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) no *Guia do usuário do IAM*.

Um [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica um conjunto de usuários do IAM e facilita o gerenciamento de permissões para grandes conjuntos de usuários. Para ter mais informações, consulte [Casos de uso de usuários do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) no *Guia do usuário do IAM*.

### Perfis do IAM
<a name="security_iam_authentication-iamrole"></a>

Uma *[perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* é uma identidade com permissões específicas que oferece credenciais temporárias. Você pode assumir uma função [mudando de um usuário para uma função do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou chamando uma operação de AWS API AWS CLI ou. Para saber mais, consulte [Métodos para assumir um perfil](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) no *Manual do usuário do IAM*.

Os perfis do IAM são úteis para acesso de usuário federado, permissões de usuário do IAM temporárias, acesso entre contas, acesso entre serviços e aplicações em execução no Amazon EC2. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

## Gerenciar o acesso usando políticas
<a name="security_iam_access-manage"></a>

Você controla o acesso AWS criando políticas e anexando-as a AWS identidades ou recursos. Uma política define permissões quando associada a uma identidade ou recurso. AWS avalia essas políticas quando um diretor faz uma solicitação. A maioria das políticas é armazenada AWS como documentos JSON. Para ter mais informações sobre documentos de política JSON, consulte [Visão geral das políticas JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) no *Guia do usuário do IAM*.

Por meio de políticas, os administradores especificam quem tem acesso a que, definindo qual **entidade principal** pode realizar **ações** em quais **recursos** e sob quais **condições**.

Por padrão, usuários e perfis não têm permissões. Um administrador do IAM cria políticas do IAM e as adiciona aos perfis, os quais os usuários podem então assumir. As políticas do IAM definem permissões, independentemente do método usado para realizar a operação.

### Políticas baseadas em identidade
<a name="security_iam_access-manage-id-based-policies"></a>

As políticas baseadas em identidade são documentos de políticas de permissão JSON que você anexa a uma identidade (usuário, grupo ou perfil). Essas políticas controlam quais ações as identidades podem realizar, em quais recursos e sob quais condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

As políticas baseadas em identidade podem ser políticas *em linha* (incorporadas diretamente em uma única identidade) ou *políticas gerenciadas* (políticas autônomas anexadas a várias identidades). Para saber como escolher entre uma política gerenciada e políticas em linha, consulte [Escolher entre políticas gerenciadas e políticas em linha](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) no *Guia do usuário do IAM*.

### Políticas baseadas em recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. Entre os exemplos estão *políticas de confiança de perfil* do IAM e *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos.

Políticas baseadas em recursos são políticas em linha localizadas nesse serviço. Você não pode usar políticas AWS gerenciadas do IAM em uma política baseada em recursos.

### Outros tipos de política
<a name="security_iam_access-manage-other-policies"></a>

AWS oferece suporte a tipos de políticas adicionais que podem definir o máximo de permissões concedidas por tipos de políticas mais comuns:
+ **Limites de permissões**: definem o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. Para saber mais sobre limites de permissões, consulte [Limites de permissões para identidades do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) no *Guia do usuário do IAM*.
+ **Políticas de controle de serviço (SCPs)** — Especifique as permissões máximas para uma organização ou unidade organizacional em AWS Organizations. Para saber mais, consulte [Políticas de controle de serviço](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) no *Guia do usuário do AWS Organizations *.
+ **Políticas de controle de recursos (RCPs)** — Defina o máximo de permissões disponíveis para recursos em suas contas. Para obter mais informações, consulte [Políticas de controle de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) no *Guia AWS Organizations do usuário*.
+ **Políticas de sessão**: políticas avançadas transmitidas como um parâmetro durante a criação de uma sessão temporária para um perfil ou um usuário federado. Para saber mais, consulte [Políticas de sessão](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) no *Guia do usuário do IAM*.

### Vários tipos de política
<a name="security_iam_access-manage-multiple-policies"></a>

Quando vários tipos de política são aplicáveis a uma solicitação, é mais complicado compreender as permissões resultantes. Para saber como AWS determinar se uma solicitação deve ser permitida quando vários tipos de políticas estão envolvidos, consulte [Lógica de avaliação de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) no *Guia do usuário do IAM*.

# Como AWS WAF funciona com o IAM
<a name="security_iam_service-with-iam"></a>

Esta seção explica como usar os recursos do IAM com AWS WAF.

Antes de usar o IAM para gerenciar o acesso AWS WAF, saiba com quais recursos do IAM estão disponíveis para uso AWS WAF.






**Recursos do IAM que você pode usar com AWS WAF**  

| Recurso do IAM | AWS WAF apoio | 
| --- | --- | 
|  [Políticas baseadas em identidade](#security_iam_service-with-iam-id-based-policies)  |   Sim  | 
|  [Políticas baseadas em atributos](#security_iam_service-with-iam-resource-based-policies)  |   Sim  | 
|  [Ações de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sim  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sim  | 
|  [Chaves de condição de política (específicas do serviço)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sim  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   Não   | 
|  [ABAC (tags em políticas)](#security_iam_service-with-iam-tags)  |   Parcial  | 
|  [Credenciais temporárias](#security_iam_service-with-iam-roles-tempcreds)  |   Sim  | 
|  [Sessões de acesso direto (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sim  | 
|  [Perfis de serviço](#security_iam_service-with-iam-roles-service)  |   Sim  | 
|  [Perfis vinculados a serviço](#security_iam_service-with-iam-roles-service-linked)  |   Sim  | 

Para ter uma visão de alto nível de como AWS WAF e outros AWS serviços funcionam com a maioria dos recursos do IAM, consulte [AWS os serviços que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

## Políticas baseadas em identidade para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatível com políticas baseadas em identidade:** sim

As políticas baseadas em identidade são documentos de políticas de permissões JSON que podem ser anexados a uma identidade, como usuário do IAM, grupo de usuários ou perfil. Essas políticas controlam quais ações os usuários e perfis podem realizar, em quais recursos e em que condições. Para saber como criar uma política baseada em identidade, consulte [Definir permissões personalizadas do IAM com as políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) no *Guia do Usuário do IAM*.

Com as políticas baseadas em identidade do IAM, é possível especificar ações e recursos permitidos ou negados, assim como as condições sob as quais as ações são permitidas ou negadas. Para saber mais sobre todos os elementos que podem ser usados em uma política JSON, consulte [Referência de elemento de política JSON do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) no *Guia do usuário do IAM*.

Para ver exemplos de políticas AWS WAF baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS WAF](security_iam_id-based-policy-examples.md)

## Políticas baseadas em recursos dentro AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatível com políticas baseadas em recursos:** sim

Políticas baseadas em recursos são documentos de políticas JSON que você anexa a um recurso. São exemplos de políticas baseadas em recursos as *políticas de confiança de perfil* do IAM e as *políticas de bucket* do Amazon S3. Em serviços compatíveis com políticas baseadas em recursos, os administradores de serviço podem usá-las para controlar o acesso a um recurso específico. Para o atributo ao qual a política está anexada, a política define quais ações uma entidade principal especificado pode executar nesse atributo e em que condições. É necessário [especificar uma entidade principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) em uma política baseada em recursos. Os diretores podem incluir contas, usuários, funções, usuários federados ou. Serviços da AWS

Para permitir o acesso entre contas, é possível especificar uma conta inteira ou as entidades do IAM em outra conta como a entidade principal em uma política baseada em recursos. Consulte mais informações em [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

AWS WAF usa políticas baseadas em recursos para apoiar o compartilhamento de grupos de regras entre contas. Você compartilha um grupo de regras que você possui com outra AWS conta fornecendo as configurações de política com base em recursos para a chamada de AWS WAF API `PutPermissionPolicy` ou para uma chamada de CLI ou SDK equivalente. Para obter informações adicionais, incluindo exemplos e links para a documentação dos outros idiomas disponíveis, consulte [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)a Referência da AWS WAF API. Essa funcionalidade não está disponível por outros meios, como o console ou o CloudFormation. 

## Ações políticas para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatível com ações de políticas:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Action` de uma política JSON descreve as ações que podem ser usadas para permitir ou negar acesso em uma política. Incluem ações em uma política para conceder permissões para executar a operação associada.



Para ver uma lista de AWS WAF ações e permissões para cada uma, consulte [Ações definidas pela AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) na *Referência de Autorização de Serviço*.

As ações de política AWS WAF usam o seguinte prefixo antes da ação:

```
wafv2
```

Para especificar várias ações em uma única instrução, separe-as com vírgulas.

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Você também pode especificar várias ações usando caracteres-curinga (\$1). Por exemplo, para especificar todas as ações AWS WAF que começam com`List`, inclua a seguinte ação:

```
"Action": "wafv2:List*"
```

Para ver exemplos de políticas AWS WAF baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS WAF](security_iam_id-based-policy-examples.md)

### Ações que exigem configurações de permissões adicionais
<a name="security_iam_action-additions"></a>

Algumas ações exigem permissões que não podem ser completamente descritas em [Ações definidas pela AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) na *Referência de Autorização de Serviço*. Esta seção fornece informações adicionais sobre permissões.

**Topics**
+ [

#### Permissões para `AssociateWebACL`
](#security_iam_action-AssociateWebACL)
+ [

#### Permissões para `DisassociateWebACL`
](#security_iam_action-DisassociateWebACL)
+ [

#### Permissões para `GetWebACLForResource`
](#security_iam_action-GetWebACLForResource)
+ [

#### Permissões para `ListResourcesForWebACL`
](#security_iam_action-ListResourcesForWebACL)

#### Permissões para `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

Esta seção lista as permissões necessárias para associar um pacote de proteção (ACL da Web) a um recurso usando a ação `AssociateWebACL` do AWS WAF . 

Para CloudFront distribuições da Amazon, em vez dessa ação, use a CloudFront ação`UpdateDistribution`. Para obter mais informações, consulte [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)a *Amazon CloudFront API Reference*. 

**API REST do Amazon API Gateway**  
Requer permissão para chamar o API Gateway `SetWebACL` no tipo de recurso da API REST e para chamar AWS WAF `AssociateWebACL` um pacote de proteção (Web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Requer permissão para chamar `elasticloadbalancing:SetWebACL` uma ação no tipo de recurso do Application Load Balancer e para chamar AWS WAF `AssociateWebACL` um pacote de proteção (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API do GraphQL**  
Requer permissão para chamar AWS AppSync `SetWebACL` o tipo de recurso da API GraphQL e para chamar AWS WAF `AssociateWebACL` um pacote de proteção (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Grupo de usuários do Amazon Cognito**  
Requer permissão para chamar a `AssociateWebACL` ação do Amazon Cognito no tipo de recurso do grupo de usuários e para chamar AWS WAF `AssociateWebACL` um pacote de proteção (web ACL). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner serviço**  
Requer permissão para chamar a `AssociateWebACL` ação do App Runner no tipo de recurso do serviço App Runner e para chamar AWS WAF `AssociateWebACL` uma ACL da web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instância de acesso verificado**  
Requer permissão para chamar a `ec2:AssociateVerifiedAccessInstanceWebAcl` ação no tipo de recurso da instância de acesso verificado e para chamar AWS WAF `AssociateWebACL` uma ACL da web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permissões para `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

Esta seção lista as permissões necessárias para desassociar um pacote de proteção (ACL da Web) de um recurso usando a ação `DisassociateWebACL` do AWS WAF . 

Para CloudFront distribuições da Amazon, em vez dessa ação, use a CloudFront ação `UpdateDistribution` com um ID de pacote de proteção vazio (web ACL). Para obter mais informações, consulte [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)a *Amazon CloudFront API Reference*. 

**API REST do Amazon API Gateway**  
Requer permissão para chamar `SetWebACL` do API Gateway no tipo de recurso da API REST. Não requer permissão para ligar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Application Load Balancer**  
Requer permissão para chamar a ação `elasticloadbalancing:SetWebACL` no tipo de recurso do Application Load Balancer. Não requer permissão para ligar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API do GraphQL**  
Requer permissão para chamar o AWS AppSync `SetWebACL` tipo de recurso da API GraphQL. Não requer permissão para ligar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Grupo de usuários do Amazon Cognito**  
Requer permissão para chamar a `DisassociateWebACL` ação do Amazon Cognito no tipo de recurso do grupo de usuários e para fazer a chamada. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner serviço**  
Requer permissão para chamar a `DisassociateWebACL` ação App Runner no tipo de recurso de serviço App Runner e para chamar. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instância de acesso verificado**  
Requer permissão para chamar a `ec2:DisassociateVerifiedAccessInstanceWebAcl` ação no tipo de recurso da instância de Acesso Verificado e para chamar AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permissões para `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

Esta seção lista as permissões necessárias para obter o pacote de proteção (ACL da Web) para um recurso protegido usando a ação `GetWebACLForResource` do AWS WAF . 

Para CloudFront distribuições da Amazon, em vez dessa ação, use a CloudFront ação`GetDistributionConfig`. Para obter mais informações, consulte [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)a *Amazon CloudFront API Reference*. 

**nota**  
`GetWebACLForResource` requer permissão para chamar `GetWebACL`. Nesse contexto, AWS WAF usa `GetWebACL` somente para verificar se sua conta tem a permissão necessária para acessar o pacote de proteção (Web ACL) que `GetWebACLForResource` retorna. Ao ligar`GetWebACLForResource`, você pode receber um erro indicando que sua conta não está autorizada a atuar `wafv2:GetWebACL` no recurso. AWS WAF não adiciona esse tipo de erro ao histórico de AWS CloudTrail eventos. 

**API REST do Amazon API Gateway, Application Load Balancer e API GraphQL AWS AppSync**  
Exigir permissão para ligar AWS WAF `GetWebACLForResource` e `GetWebACL` solicitar um pacote de proteção (Web ACL). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Grupo de usuários do Amazon Cognito**  
Requer permissão para chamar a `GetWebACLForResource` ação do Amazon Cognito no tipo de recurso do grupo de usuários e para chamar e. AWS WAF `GetWebACLForResource` `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner serviço**  
Requer permissão para chamar a `DescribeWebAclForService` ação App Runner no tipo de recurso do serviço App Runner e para chamar e. AWS WAF `GetWebACLForResource` `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instância de acesso verificado**  
Requer permissão para chamar a `ec2:GetVerifiedAccessInstanceWebAcl` ação no tipo de recurso da instância de Acesso Verificado e para chamar AWS WAF `GetWebACLForResource` `GetWebACL` e. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permissões para `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

Esta seção lista as permissões necessárias para recuperar a lista de recursos protegidos para um pacote de proteção (ACL da Web) usando a ação `ListResourcesForWebACL` do AWS WAF . 

Para CloudFront distribuições da Amazon, em vez dessa ação, use a CloudFront ação`ListDistributionsByWebACLId`. Para obter mais informações, consulte [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)a *Amazon CloudFront API Reference*. 

**API REST do Amazon API Gateway, Application Load Balancer e API GraphQL AWS AppSync**  
Exigir permissão AWS WAF `ListResourcesForWebACL` para solicitar uma ACL da web. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Grupo de usuários do Amazon Cognito**  
Requer permissão para chamar a ação `ListResourcesForWebACL` do Amazon Cognito no tipo de recurso do grupo de usuários e para chamar `ListResourcesForWebACL` do AWS WAF . 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner serviço**  
Requer permissão para chamar a `ListAssociatedServicesForWebAcl` ação App Runner no tipo de recurso de serviço App Runner e para chamar. AWS WAF `ListResourcesForWebACL` 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instância de acesso verificado**  
Requer permissão para chamar a ação `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` no tipo de recurso da instância do acesso verificado e para chamar `ListResourcesForWebACL` do AWS WAF . 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Recursos políticos para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatível com recursos de políticas:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento de política JSON `Resource` especifica o objeto ou os objetos aos quais a ação se aplica. Como prática recomendada, especifique um recurso usando seu [nome do recurso da Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Para ações que não oferecem compatibilidade com permissões em nível de recurso, use um curinga (\$1) para indicar que a instrução se aplica a todos os recursos.

```
"Resource": "*"
```

Para ver a lista de tipos de AWS WAF recursos e seus ARNs, consulte [Recursos definidos pela AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) na *Referência de Autorização de Serviço*. Para saber com quais ações você pode especificar o ARN de cada recurso, consulte [Ações definidas pela AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) V2. Para permitir ou negar acesso a um subconjunto de AWS WAF recursos, inclua o ARN do recurso no elemento `resource` da sua política.

Os AWS WAF `wafv2` recursos ARNs of têm o seguinte formato:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Para obter informações gerais sobre as especificações do ARN, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) no. Referência geral da Amazon Web Services

A seguir, são listados os requisitos específicos ARNs dos `wafv2` recursos de: 
+ *region*: Para AWS WAF recursos que você usa para proteger as CloudFront distribuições da Amazon, defina `us-east-1` isso como. Caso contrário, defina isso para a região que você está usando com seus recursos regionais protegidos. 
+ *scope*: defina o escopo `global` para uso com uma CloudFront distribuição da Amazon ou `regional` para uso com qualquer um dos recursos regionais que oferecem AWS WAF suporte. Os recursos regionais são uma API REST do Amazon API Gateway, um Application Load Balancer, uma API GraphQL AWS AppSync , um grupo de usuários do Amazon Cognito, um AWS App Runner serviço e uma instância de acesso verificado. AWS 
+ *resource-type*: especifique um dos seguintes valores: `webacl``rulegroup`,`ipset`,`regexpatternset`, ou`managedruleset`.
+ *resource-name*: especifique o nome que você deu ao AWS WAF recurso ou especifique um curinga (`*`) para indicar todos os recursos que atendem às outras especificações no ARN. Você deve especificar o nome do recurso e a ID do recurso ou especificar um caractere curinga para ambos. 
+ *resource-id*: especifique a ID do AWS WAF recurso ou especifique um curinga (`*`) para indicar todos os recursos que atendem às outras especificações no ARN. Você deve especificar o nome do recurso e a ID do recurso ou especificar um caractere curinga para ambos.

Por exemplo, o ARN a seguir especifica todos os pacotes de proteção (web ACLs) com escopo regional para a conta na Região: `111122223333` `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

O ARN a seguir especifica o grupo de regras nomeado `MyIPManagementRuleGroup` com escopo global para a conta `111122223333` na Região `us-east-1`:

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Para ver exemplos de políticas AWS WAF baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS WAF](security_iam_id-based-policy-examples.md)

## Chaves de condição de política para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatível com chaves de condição de política específicas de serviço:** sim

Os administradores podem usar políticas AWS JSON para especificar quem tem acesso ao quê. Ou seja, qual **entidade principal** pode executar **ações** em quais **recursos** e em que **condições**.

O elemento `Condition` especifica quando as instruções são executadas com base em critérios definidos. É possível criar expressões condicionais que usem [agentes de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), como “igual a” ou “menor que”, para fazer a condição da política corresponder aos valores na solicitação. Para ver todas as chaves de condição AWS globais, consulte as [chaves de contexto de condição AWS global](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) no *Guia do usuário do IAM*.

Além disso, AWS WAF oferece suporte às seguintes chaves de condição que você pode usar para fornecer uma filtragem refinada para suas políticas do IAM:
+ **onda 2: LogDestinationResource**

  Essa chave de condição usa uma especificação do nome do recurso da Amazon (ARN) para o destino do registro de logs. Esse é o ARN que você fornece para o destino do registro de logs ao usar a chamada da API REST `PutLoggingConfiguration`. 

  Você pode especificar explicitamente um ARN e especificar a filtragem para o ARN. O exemplo a seguir especifica a filtragem para o ARNs bucket do Amazon S3 que tem uma localização e um prefixo específicos. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **onda 2: LogScope**

  Essa chave de condição define a origem da configuração de registro de logs em uma string. Atualmente, isso é sempre definido como o padrão `Customer`, o que indica que o destino do registro de logs pertence e é gerenciado por você. 

Para ver uma lista de chaves de AWS WAF condição, consulte [Chaves de condição para AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) na *Referência de autorização de serviço*. Para saber com quais ações e recursos você pode usar uma chave de condição, consulte [Ações definidas pela AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Para ver exemplos de políticas AWS WAF baseadas em identidade, consulte. [Exemplos de políticas baseadas em identidade para AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Suportes ACLs:** Não 

As listas de controle de acesso (ACLs) controlam quais diretores (membros da conta, usuários ou funções) têm permissões para acessar um recurso. ACLs são semelhantes às políticas baseadas em recursos, embora não usem o formato de documento de política JSON.

## ABAC com AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Compatível com ABAC (tags em políticas):** parcial

O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos chamados de tags. Você pode anexar tags a entidades e AWS recursos do IAM e, em seguida, criar políticas ABAC para permitir operações quando a tag do diretor corresponder à tag no recurso.

Para controlar o acesso baseado em tags, forneça informações sobre as tags no [elemento de condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de uma política usando as `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou chaves de condição `aws:TagKeys`.

Se um serviço for compatível com as três chaves de condição para cada tipo de recurso, o valor será **Sim** para o serviço. Se um serviço for compatível com as três chaves de condição somente para alguns tipos de recursos, o valor será **Parcial**

Para saber mais sobre o ABAC, consulte [Definir permissões com autorização do ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) no *Guia do usuário do IAM*. Para visualizar um tutorial com etapas para configurar o ABAC, consulte [Usar controle de acesso por atributo (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) no *Guia do usuário do IAM*.

## Usando credenciais temporárias com AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatível com credenciais temporárias:** sim

As credenciais temporárias fornecem acesso de curto prazo aos AWS recursos e são criadas automaticamente quando você usa a federação ou troca de funções. AWS recomenda que você gere credenciais temporárias dinamicamente em vez de usar chaves de acesso de longo prazo. Para ter mais informações, consulte [Credenciais de segurança temporárias no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Serviços da Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) no *Guia do usuário do IAM*.

## Encaminhar sessões de acesso para serviço AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Compatibilidade com o recurso de encaminhamento de sessões de acesso (FAS):** sim

 As sessões de acesso direto (FAS) usam as permissões do principal chamando um AWS service (Serviço da AWS), combinadas com a solicitação AWS service (Serviço da AWS) de fazer solicitações aos serviços posteriores. Para obter detalhes da política ao fazer solicitações de FAS, consulte [Sessões de acesso direto](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Funções de serviço para AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatível com perfis de serviço:** sim

 O perfil de serviço é um [perfil do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que um serviço assume para executar ações em seu nome. Um administrador do IAM pode criar, modificar e excluir um perfil de serviço do IAM. Para saber mais, consulte [Criar um perfil para delegar permissões a um AWS service (Serviço da AWS)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) no *Guia do Usuário do IAM*. 

**Atenção**  
Alterar as permissões de uma função de serviço pode interromper AWS WAF a funcionalidade. Edite as funções de serviço somente quando AWS WAF fornecer orientação para fazer isso.

## Funções vinculadas a serviços para AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatibilidade com perfis vinculados a serviços:** sim

 Uma função vinculada ao serviço é um tipo de função de serviço vinculada a um. AWS service (Serviço da AWS) O serviço pode assumir o perfil de executar uma ação em seu nome. As funções vinculadas ao serviço aparecem em você Conta da AWS e são de propriedade do serviço. Um administrador do IAM pode visualizar, mas não editar as permissões para perfis vinculados ao serviço. 

Para obter detalhes sobre como criar ou gerenciar funções AWS WAF vinculadas a serviços, consulte. [Usando funções vinculadas a serviços para AWS WAF](using-service-linked-roles.md)

# Exemplos de políticas baseadas em identidade para AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

Esta seção fornece exemplos de políticas baseadas em identidade para. AWS WAF

Por padrão, usuários e perfis não têm permissão para criar ou modificar recursos do AWS WAF . Para conceder permissão aos usuários para executar ações nos recursos que eles precisam, um administrador do IAM pode criar políticas do IAM.

Para aprender a criar uma política baseada em identidade do IAM ao usar esses documentos de política em JSON de exemplo, consulte [Criar políticas do IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) no *Guia do usuário do IAM*.

Para obter detalhes sobre ações e tipos de recursos definidos por AWS WAF, incluindo o formato do ARNs para cada um dos tipos de recursos, consulte [Ações, recursos e chaves de condição para AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) na *Referência de Autorização de Serviço*.

**Topics**
+ [

## Práticas recomendadas de política
](#security_iam_service-with-iam-policy-best-practices)
+ [

## Usando o AWS WAF console
](#security_iam_id-based-policy-examples-console)
+ [

## Permitir que os usuários visualizem suas próprias permissões
](#security_iam_id-based-policy-examples-view-own-permissions)
+ [

## Conceda acesso somente de leitura a AWS WAF,, e CloudFront CloudWatch
](#security_iam_id-based-policy-examples-read-only1)
+ [

## Conceda acesso total a AWS WAF, CloudFront, e CloudWatch
](#security_iam_id-based-policy-examples-full-access1)
+ [

## Conceda acesso a um único Conta da AWS
](#security_iam_id-based-policy-examples-access-to-account)
+ [

## Conceder acesso a um único pacote de proteção (ACL da Web)
](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [

## Conceder acesso pela CLI a um pacote de proteção (ACL da Web) e um grupo de regras
](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Práticas recomendadas de política
<a name="security_iam_service-with-iam-policy-best-practices"></a>

As políticas baseadas em identidade determinam se alguém pode criar, acessar ou excluir AWS WAF recursos em sua conta. Essas ações podem incorrer em custos para sua Conta da AWS. Ao criar ou editar políticas baseadas em identidade, siga estas diretrizes e recomendações:
+ **Comece com as políticas AWS gerenciadas e avance para as permissões de privilégios mínimos — Para começar a conceder permissões** aos seus usuários e cargas de trabalho, use as *políticas AWS gerenciadas* que concedem permissões para muitos casos de uso comuns. Eles estão disponíveis no seu Conta da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo AWS cliente que sejam específicas para seus casos de uso. Para saber mais, consulte [Políticas gerenciadas pela AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Políticas gerenciadas pela AWS para funções de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
+ **Aplique permissões de privilégio mínimo**: ao definir permissões com as políticas do IAM, conceda apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas, também conhecidas como *permissões de privilégio mínimo*. Para saber mais sobre como usar o IAM para aplicar permissões, consulte [Políticas e permissões no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) no *Guia do usuário do IAM*.
+ **Use condições nas políticas do IAM para restringir ainda mais o acesso**: é possível adicionar uma condição às políticas para limitar o acesso a ações e recursos. Por exemplo, é possível escrever uma condição de política para especificar que todas as solicitações devem ser enviadas usando SSL. Você também pode usar condições para conceder acesso às ações de serviço se elas forem usadas por meio de uma ação específica AWS service (Serviço da AWS), como CloudFormation. Para saber mais, consulte [Elementos da política JSON do IAM: condição](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) no *Guia do usuário do IAM*.
+ **Use o IAM Access Analyzer para validar suas políticas do IAM a fim de garantir permissões seguras e funcionais**: o IAM Access Analyzer valida as políticas novas e existentes para que elas sigam a linguagem de política do IAM (JSON) e as práticas recomendadas do IAM. O IAM Access Analyzer oferece mais de cem verificações de política e recomendações práticas para ajudar a criar políticas seguras e funcionais. Para saber mais, consulte [Validação de políticas do IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) no *Guia do Usuário do IAM*.
+ **Exigir autenticação multifator (MFA**) — Se você tiver um cenário que exija usuários do IAM ou um usuário root, ative Conta da AWS a MFA para obter segurança adicional. Para exigir MFA quando as operações de API forem chamadas, adicione condições de MFA às suas políticas. Para saber mais, consulte [Configuração de acesso à API protegido por MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) no *Guia do Usuário do IAM*.

Para saber mais sobre as práticas recomendadas do IAM, consulte [Práticas recomendadas de segurança no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) no *Guia do usuário do IAM*.

## Usando o AWS WAF console
<a name="security_iam_id-based-policy-examples-console"></a>

Para acessar o AWS WAF console, você deve ter um conjunto mínimo de permissões. Essas permissões devem permitir que você liste e visualize detalhes sobre os AWS WAF recursos em seu Conta da AWS. Caso crie uma política baseada em identidade mais restritiva que as permissões mínimas necessárias, o console não funcionará como pretendido para entidades (usuários ou perfis) com essa política.

Você não precisa permitir permissões mínimas do console para usuários que estão fazendo chamadas somente para a API AWS CLI ou para a AWS API. Em vez disso, permita o acesso somente a ações que correspondam à operação de API que estiverem tentando executar.

Para garantir que usuários e funções possam usar o AWS WAF console, anexe também pelo menos a política AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS gerenciada às entidades. Para obter mais informações sobre esta política gerenciada, consulte [AWS política gerenciada: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Para saber mais sobre como adicionar uma política a um usuário, consulte [Adição de permissões a um usuário](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) no *Guia do usuário do IAM*.

## Permitir que os usuários visualizem suas próprias permissões
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Este exemplo mostra como criar uma política que permita que os usuários do IAM visualizem as políticas gerenciadas e em linha anexadas a sua identidade de usuário. Essa política inclui permissões para concluir essa ação no console ou programaticamente usando a API AWS CLI ou AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Conceda acesso somente de leitura a AWS WAF,, e CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

A política a seguir concede aos usuários acesso somente de leitura aos AWS WAF recursos, às distribuições CloudFront web da Amazon e às métricas da Amazon. CloudWatch É útil para usuários que precisam de permissão para visualizar as configurações em AWS WAF condições, regras e pacotes de proteção (web ACLs) para ver qual distribuição está associada a um pacote de proteção (Web ACL) e para monitorar métricas e uma amostra de solicitações em. CloudWatch Esses usuários não podem criar, atualizar nem excluir recursos do AWS WAF :

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Conceda acesso total a AWS WAF, CloudFront, e CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

A política a seguir permite que os usuários realizem qualquer AWS WAF operação, executem qualquer operação em distribuições CloudFront da web e monitorem métricas e uma amostra de solicitações recebidas. CloudWatch É útil para usuários que são AWS WAF administradores.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Recomendamos que você configure autenticação multifator (MFA) para os usuários que tiverem permissões administrativas. Para saber mais, consulte [Como usar dispositivos com autenticação multifator (MFA) com o AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) no *Guia do usuário do IAM*. 

## Conceda acesso a um único Conta da AWS
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Esta política concede as seguintes permissões para a conta 444455556666:
+ Acesso total a todas as AWS WAF operações e recursos.
+ Leia e atualize o acesso a todas as CloudFront distribuições, o que permite associar pacotes de proteção (web ACLs) e CloudFront distribuições.
+ Acesso de leitura a todas as CloudWatch métricas e estatísticas métricas, para que você possa visualizar CloudWatch dados e uma amostra de solicitações no AWS WAF console. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Conceder acesso a um único pacote de proteção (ACL da Web)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

A política a seguir permite que os usuários realizem qualquer AWS WAF operação por meio do console em um pacote de proteção específico (Web ACL) na conta`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Conceder acesso pela CLI a um pacote de proteção (ACL da Web) e um grupo de regras
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

A política a seguir permite que os usuários realizem qualquer AWS WAF operação por meio da CLI em um pacote de proteção específico (Web ACL) e em um grupo de regras específico na conta. `444455556666`

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

A política a seguir permite que os usuários realizem qualquer AWS WAF operação por meio do console em um pacote de proteção específico (Web ACL) na conta`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS políticas gerenciadas para AWS WAF
<a name="security-iam-awsmanpol"></a>

Esta seção explica como usar políticas AWS gerenciadas para AWS WAF.

Uma política AWS gerenciada é uma política autônoma criada e administrada por AWS. AWS as políticas gerenciadas são projetadas para fornecer permissões para muitos casos de uso comuns, para que você possa começar a atribuir permissões a usuários, grupos e funções.

Lembre-se de que as políticas AWS gerenciadas podem não conceder permissões de privilégio mínimo para seus casos de uso específicos porque elas estão disponíveis para uso de todos os AWS clientes. Recomendamos que você reduza ainda mais as permissões definindo as [ políticas gerenciadas pelo cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) que são específicas para seus casos de uso.

Você não pode alterar as permissões definidas nas políticas AWS gerenciadas. Se AWS atualizar as permissões definidas em uma política AWS gerenciada, a atualização afetará todas as identidades principais (usuários, grupos e funções) às quais a política está anexada. AWS é mais provável que atualize uma política AWS gerenciada quando uma nova AWS service (Serviço da AWS) é lançada ou novas operações de API são disponibilizadas para serviços existentes.

Para saber mais, consulte [AWS Políticas gerenciadas pela ](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.

## AWS política gerenciada: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Essa política concede permissões somente de leitura que permitem que os usuários acessem AWS WAF recursos e recursos para serviços integrados, como Amazon, Amazon API Gateway CloudFront, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner,, AWS Amplify, CloudWatch Amazon e Verified Access. AWS Você pode anexar essa política às suas identidades do IAM. AWS WAF também anexa essa política a uma função de serviço que permite AWS WAF realizar ações em seu nome.

Para obter detalhes sobre essa política, consulte [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)no console do IAM.

## AWS política gerenciada: AWSWAFFull Acesso
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Essa política concede acesso total a AWS WAF recursos e recursos para serviços integrados, como Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito AWS AppSync, AWS App Runner, AWS Amplify, CloudWatch AWS Amazon e Verified Access. Você pode anexar essa política às suas identidades do IAM. AWS WAF também anexa essa política a uma função de serviço que permite AWS WAF realizar ações em seu nome.

Para obter detalhes sobre essa política, consulte [AWSWAFFullAcesso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) no console do IAM.

## AWS política gerenciada: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Essa política concede permissões somente de leitura ao AWS WAF console, o que inclui recursos para AWS WAF e para serviços integrados, como Amazon, Amazon API Gateway CloudFront, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner,, AWS Amplify, CloudWatch Amazon e Verified Access. AWS É possível anexar essa política às suas identidades do IAM.

Para obter detalhes sobre essa política, consulte [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)no console do IAM.

## AWS política gerenciada: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Essa política concede acesso total ao AWS WAF console, que inclui recursos para AWS WAF e para serviços integrados, como Amazon, Amazon API Gateway CloudFront, Application Load Balancer, Amazon Cognito AWS AppSync, AWS App Runner AWS Amplify, CloudWatch AWS Amazon e Verified Access. Você pode anexar essa política às suas identidades do IAM. AWS WAF também anexa essa política a uma função de serviço que permite AWS WAF realizar ações em seu nome.

Para obter detalhes sobre essa política, consulte [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)no console do IAM.

## AWS política gerenciada: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Essa política permite AWS WAF gravar registros no Amazon Data Firehose. Essa política é usada somente se você habilitar o login AWS WAF. Esta política é anexada à função vinculada ao serviço `AWSServiceRoleForWAFV2Logging`. Para saber mais sobre a função vinculada ao serviço do , consulte [Usando funções vinculadas a serviços para AWS WAF](using-service-linked-roles.md). 

Para obter detalhes sobre essa política, consulte [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)no console do IAM.

## AWS WAF atualizações nas políticas AWS gerenciadas
<a name="security-iam-awsmanpol-updates"></a>



Veja detalhes sobre as atualizações das políticas AWS gerenciadas AWS WAF desde que esse serviço começou a rastrear essas alterações. Para alertas automáticos sobre alterações nesta página, assine o feed RSS na página de histórico do AWS WAF documento em[Histórico do documento](doc-history.md).




| Política | Descrição de alteração | Data | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Foram adicionadas as seguintes permissões para planos CloudFront de preços. Para obter mais detalhes, consulte [Usando AWS WAF com CloudFront planos de preços fixos](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18  | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Foram adicionadas as seguintes permissões para planos CloudFront de preços. Para obter mais detalhes, consulte [Usando AWS WAF com CloudFront planos de preços fixos](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-18 | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Atualizadas as seguintes permissões:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) Adicionou as seguintes permissões:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Atualizadas as seguintes permissões:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) Adicionou as seguintes permissões:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-11-03 | 
| `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Foram adicionadas as permissões AssociateWeb ACL, DisassociateWeb ACL, GetWeb ACLFor Resource e ListResourcesForWeb ACL necessárias para. AWS Amplify  | 2025-05-05 | 
| `AWSWAFReadOnlyAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Para obter detalhes sobre essa política, consulte [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)no console do IAM. |   GetWebACLForRecursos de permissões e ListResourcesForWeb ACL adicionados necessários para AWS Amplify.  | 2025-05-05 | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Adicionou as seguintes permissões:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Adicionou as seguintes permissões:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/waf/latest/developerguide/security-iam-awsmanpol.html)  | 2025-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Essa política permite AWS WAF gravar registros no Amazon Data Firehose. Ela é usada somente se você ativar o registro de logs.  Detalhes no console do IAM: [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary). |  Declaração adicionada IDs (Sids) às configurações de permissões na função vinculada ao serviço à qual essa política está anexada.   | 2024-06-03 | 
| `AWSServiceRoleForWAFV2Logging` Essa função vinculada ao serviço fornece políticas de permissões que permitem AWS WAF gravar registros no Amazon Data Firehose.  Detalhes no console do IAM: [AWSServiceRoleForWAFV2Logging](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging). |  Declaração adicionada IDs (Sids) às configurações de permissões.   | 2024-06-03 | 
|  AWS WAF adições ao rastreamento de alterações  |  AWS WAF começou a rastrear as alterações na política gerenciada `WAFV2LoggingServiceRolePolicy` e na função vinculada ao serviço. `AWSServiceRoleForWAFV2Logging`   | 2024-06-03 | 
| `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permissões expandidas para adicionar instâncias de acesso AWS verificado aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-06-17 | 
| `AWSWAFReadOnlyAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar instâncias de acesso AWS verificado aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-06-17 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar instâncias de acesso AWS verificado aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-06-17 | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar instâncias de acesso AWS verificado aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-06-17 | 
| `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permissões expandidas para corrigir as configurações de acesso AWS App Runner dos serviços.  | 2023-06-06 | 
| `AWSWAFReadOnlyAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para corrigir as configurações de acesso AWS App Runner dos serviços.  | 2023-06-06 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permissões expandidas para corrigir as configurações de acesso AWS App Runner dos serviços.  | 2023-06-06 | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para corrigir as configurações de acesso AWS App Runner dos serviços.  | 2023-06-06 | 
| `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permissões expandidas para adicionar AWS App Runner serviços aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-03-30 | 
| `AWSWAFReadOnlyAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar AWS App Runner serviços aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-03-30 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar AWS App Runner serviços aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-03-30 | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar AWS App Runner serviços aos tipos de recursos com os quais você pode se proteger AWS WAF.  | 2023-03-30 | 
| `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger. AWS WAF  | 2022-08-25 | 
| `AWSWAFReadOnlyAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger. AWS WAF  | 2022-08-25 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger. AWS WAF  | 2022-08-25 | 
|  `AWSWAFConsoleReadOnlyAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permissões expandidas para adicionar grupos de usuários do Amazon Cognito aos tipos de recursos com os quais você pode se proteger. AWS WAF  | 2022-08-25 | 
| `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Foram corrigidas as configurações de permissões para entrega de registros para o Amazon Simple Storage Service (Amazon S3) e o Amazon Logs. CloudWatch Essa alteração soluciona os erros de acesso negado que estavam ocorrendo durante a configuração dos logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).  | 2022-01-11 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Foram corrigidas as configurações de permissões para entrega de registros para o Amazon Simple Storage Service (Amazon S3) e o Amazon Logs. CloudWatch Essa alteração soluciona os erros de acesso que estavam ocorrendo durante a configuração dos logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).  | 2022-01-11 | 
|  `AWSWAFFullAccess` Essa política permite AWS WAF gerenciar AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Foram adicionadas novas permissões para opções de logs expandidas. Essa alteração dá AWS WAF acesso aos destinos de registro adicionais Amazon Simple Storage Service (Amazon S3) e CloudWatch Amazon Logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).  | 2021-11-15 | 
|  `AWSWAFConsoleFullAccess` Essa política permite AWS WAF gerenciar recursos AWS do console e outros AWS recursos em seu nome em AWS WAF e em serviços integrados. Detalhes no console do IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Foram adicionadas novas permissões para opções de logs expandidas. Essa alteração dá AWS WAF acesso aos destinos de registro adicionais Amazon Simple Storage Service (Amazon S3) e CloudWatch Amazon Logs. Para obter informações sobre registro em log de tráfego do pacote de proteção (ACL da WEB), consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).  | 2021-11-15 | 
|  AWS WAF começou a rastrear as alterações  |  AWS WAF começou a rastrear as mudanças em suas políticas AWS gerenciadas.  | 2021-3-01 | 

# Solução de problemas AWS WAF de identidade e acesso
<a name="security_iam_troubleshoot"></a>

Use as informações a seguir para ajudá-lo a diagnosticar e corrigir problemas comuns que você pode encontrar ao trabalhar com AWS WAF um IAM.

**Topics**
+ [

## Não estou autorizado a realizar uma ação em AWS WAF
](#security_iam_troubleshoot-no-permissions)
+ [

## Não estou autorizado a realizar iam: PassRole
](#security_iam_troubleshoot-passrole)
+ [

## Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS WAF recursos
](#security_iam_troubleshoot-cross-account-access)

## Não estou autorizado a realizar uma ação em AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Se você receber uma mensagem de erro informando que não tem autorização para executar uma ação, suas políticas deverão ser atualizadas para permitir que você realize a ação.

O erro do exemplo a seguir ocorre quando o usuário do IAM `mateojackson` tenta usar o console para visualizar detalhes sobre um atributo `my-example-widget` fictício, mas não tem as permissões `wafv2:GetWidget` fictícias.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

Nesse caso, a política do usuário `mateojackson` deve ser atualizada para permitir o acesso ao recurso `my-example-widget` usando a ação `wafv2:GetWidget`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Não estou autorizado a realizar iam: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Se você receber uma mensagem de erro informando que não está autorizado a executar a ação `iam:PassRole`, as suas políticas devem ser atualizadas para permitir que você passe uma função para o AWS WAF.

Alguns Serviços da AWS permitem que você passe uma função existente para esse serviço em vez de criar uma nova função de serviço ou uma função vinculada ao serviço. Para fazê-lo, você deve ter permissões para passar o perfil para o serviço.

O exemplo de erro a seguir ocorre quando uma usuária do IAM chamada `marymajor` tenta utilizar o console para executar uma ação no AWS WAF. No entanto, a ação exige que o serviço tenha permissões concedidas por um perfil de serviço. Mary não tem permissões para passar o perfil para o serviço.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

Nesse caso, as políticas de Mary devem ser atualizadas para permitir que ela realize a ação `iam:PassRole`.

Se precisar de ajuda, entre em contato com seu AWS administrador. Seu administrador é a pessoa que forneceu suas credenciais de login.

## Quero permitir que pessoas fora da minha Conta da AWS acessem meus AWS WAF recursos
<a name="security_iam_troubleshoot-cross-account-access"></a>

É possível criar um perfil que os usuários de outras contas ou pessoas fora da organização podem usar para acessar seus recursos. É possível especificar quem é confiável para assumir o perfil. Para serviços que oferecem suporte a políticas baseadas em recursos ou listas de controle de acesso (ACLs), você pode usar essas políticas para conceder às pessoas acesso aos seus recursos.

Para saber mais, consulte:
+ Para saber se é AWS WAF compatível com esses recursos, consulte[Como AWS WAF funciona com o IAM](security_iam_service-with-iam.md).
+ Para saber como fornecer acesso aos seus recursos em todos os Contas da AWS que você possui, consulte Como [fornecer acesso a um usuário do IAM em outro Conta da AWS que você possui](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) no *Guia do usuário do IAM*.
+ Para saber como fornecer acesso aos seus recursos a terceiros Contas da AWS, consulte Como [fornecer acesso Contas da AWS a terceiros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) no *Guia do usuário do IAM*.
+ Para saber como conceder acesso por meio da federação de identidades, consulte [Conceder acesso a usuários autenticados externamente (federação de identidades)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) no *Guia do usuário do IAM*.
+ Para conhecer a diferença entre perfis e políticas baseadas em recurso para acesso entre contas, consulte [Acesso a recursos entre contas no IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) no *Guia do usuário do IAM*.

# Usando funções vinculadas a serviços para AWS WAF
<a name="using-service-linked-roles"></a>

Esta seção explica como usar funções vinculadas a serviços para dar AWS WAF acesso aos recursos em sua AWS conta.

AWS WAF usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS WAF As funções vinculadas ao serviço são predefinidas AWS WAF e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. 

Uma função vinculada ao serviço facilita a configuração AWS WAF porque você não precisa adicionar manualmente as permissões necessárias. AWS WAF define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS WAF pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seus AWS WAF recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte [Serviços da AWS compatíveis com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que contenham **Sim** na coluna **Service-Linked Role**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.

## Permissões de função vinculadas ao serviço para AWS WAF
<a name="slr-permissions"></a>

AWS WAF usa a função vinculada ao serviço `AWSServiceRoleForWAFV2Logging` para gravar registros no Amazon Data Firehose. Essa função é usada somente se você habilitar o login AWS WAF. Para obter informações sobre registro em log, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

Essa função vinculada ao serviço é anexada à política AWS gerenciada. `WAFV2LoggingServiceRolePolicy` Para saber mais sobre a política gerenciada , consulte [AWS política gerenciada: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

O perfil vinculado ao serviço `AWSServiceRoleForWAFV2Logging` confia no serviço `wafv2.amazonaws.com` para presumir o perfil. 

As políticas de permissões da função AWS WAF permitem concluir as seguintes ações nos recursos especificados:
+ Ações do Amazon Data Firehose: `PutRecord` e `PutRecordBatch` nos recursos de fluxo de dados do Firehose com um nome que começa com `aws-waf-logs-`. Por exemplo, .`aws-waf-logs-us-east-2-analytics`
+ AWS Organizations ação: `DescribeOrganization` sobre os recursos das organizações da Organizations. 

[Veja a função completa vinculada ao serviço no console do IAM: AWSService RoleFor WAFV2 Logging.](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.

## Criação de uma função vinculada ao serviço para AWS WAF
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você ativa o AWS WAF registro no Console de gerenciamento da AWS, ou faz uma `PutLoggingConfiguration` solicitação na AWS WAF CLI ou na AWS WAF API, AWS WAF cria a função vinculada ao serviço para você. 

Você deve ter a permissão `iam:CreateServiceLinkedRole` para habilitar o registro em log.

Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você ativa o AWS WAF registro em log, AWS WAF cria a função vinculada ao serviço para você novamente. 

## Editando uma função vinculada ao serviço para AWS WAF
<a name="edit-slr"></a>

AWS WAF não permite que você edite a função `AWSServiceRoleForWAFV2Logging` vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluindo uma função vinculada ao serviço para AWS WAF
<a name="delete-slr"></a>

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

**nota**  
Se o AWS WAF serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir AWS WAF recursos usados pelo `AWSServiceRoleForWAFV2Logging`**

1. No AWS WAF console, remova o registro em log de cada Web ACL. Para obter mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

1. Usando a API ou a CLI, envie uma solicitação `DeleteLoggingConfiguration` para cada web ACL que tem o registro em log habilitado. Para saber mais, consulte [Referência de API do AWS WAF](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço `AWSServiceRoleForWAFV2Logging`. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões suportadas para funções vinculadas a AWS WAF serviços
<a name="slr-regions"></a>

AWS WAF suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para saber mais, consulte [Endpoints e cotas do AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Registro e monitoramento em AWS WAF
<a name="waf-incident-response"></a>

Esta seção explica como usar AWS ferramentas para monitorar e responder aos eventos em AWS WAF.

O monitoramento é uma parte importante da manutenção da confiabilidade, disponibilidade e desempenho de AWS WAF suas AWS soluções. Você deve coletar dados de monitoramento de todas as partes da sua AWS solução para poder depurar com mais facilidade uma falha multiponto, caso ocorra. AWS fornece várias ferramentas para monitorar seus AWS WAF recursos e responder a possíveis eventos:

** CloudWatch Alarmes da Amazon**  
Usando CloudWatch alarmes, você observa uma única métrica durante um período de tempo especificado por você. Se a métrica exceder um determinado limite, CloudWatch envia uma notificação para um tópico AWS Auto Scaling ou política do Amazon SNS. Para obter mais informações, consulte [Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail troncos**  
CloudTrail fornece um registro das ações realizadas por um usuário, função ou AWS serviço em AWS WAF. Usando as informações coletadas por CloudTrail, você pode determinar a solicitação que foi feita AWS WAF, o endereço IP do qual a solicitação foi feita, quem fez a solicitação, quando ela foi feita e detalhes adicionais. Para obter mais informações, consulte [Registro de chamadas de API do AWS CloudTrail com](logging-using-cloudtrail.md). 

**AWS WAF registro de tráfego do pacote de proteção (web ACL)**  
AWS WAF oferece registro do tráfego que seus pacotes de proteção (web ACLs) analisam. Os registros incluem informações como a hora em que AWS WAF recebeu a solicitação do seu AWS recurso protegido, informações detalhadas sobre a solicitação e a configuração de ação da regra à qual a solicitação correspondeu. Para obter mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 

# Validando a conformidade em AWS WAF
<a name="waf-compliance"></a>

Esta seção explica sua responsabilidade de conformidade ao usar AWS WAF.

Para saber se um AWS service (Serviço da AWS) está dentro do escopo de programas de conformidade específicos, consulte [Serviços da AWS Escopo por Programa de Conformidade Serviços da AWS](https://aws.amazon.com/compliance/services-in-scope/) e escolha o programa de conformidade em que você está interessado. Para obter informações gerais, consulte Programas de [AWS conformidade Programas AWS](https://aws.amazon.com/compliance/programs/) de .

Você pode baixar relatórios de auditoria de terceiros usando AWS Artifact. Para obter mais informações, consulte [Baixar relatórios em AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Sua responsabilidade de conformidade ao usar Serviços da AWS é determinada pela confidencialidade de seus dados, pelos objetivos de conformidade de sua empresa e pelas leis e regulamentações aplicáveis. Para obter mais informações sobre sua responsabilidade de conformidade ao usar Serviços da AWS, consulte a [documentação AWS de segurança](https://docs.aws.amazon.com/security/).

# Construindo para resiliência em AWS WAF
<a name="disaster-recovery-resiliency"></a>

Esta seção explica como a AWS arquitetura oferece suporte à redundância de dados para. AWS WAF

A infraestrutura AWS global é construída em torno Regiões da AWS de zonas de disponibilidade. Regiões da AWS fornecem várias zonas de disponibilidade fisicamente separadas e isoladas, conectadas a redes de baixa latência, alta taxa de transferência e alta redundância. Com as zonas de disponibilidade, é possível projetar e operar aplicações e bancos de dados que executam o failover automaticamente entre as zonas de disponibilidade sem interrupção. As zonas de disponibilidade são mais altamente disponíveis, tolerantes a falhas e escaláveis que uma ou várias infraestruturas de data center tradicionais. 

Para obter mais informações sobre zonas de disponibilidade Regiões da AWS e zonas de disponibilidade, consulte [Infraestrutura AWS global](https://aws.amazon.com/about-aws/global-infrastructure/).

# Segurança da infraestrutura em AWS WAF
<a name="infrastructure-security"></a>

Esta seção explica como AWS WAF isola o tráfego do serviço.

Como serviço gerenciado, AWS WAF é protegido pela segurança de rede AWS global. Para obter informações sobre serviços AWS de segurança e como AWS proteger a infraestrutura, consulte [AWS Cloud Security](https://aws.amazon.com/security/). Para projetar seu AWS ambiente usando as melhores práticas de segurança de infraestrutura, consulte [Proteção](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de infraestrutura no *Security Pillar AWS Well‐Architected* Framework.

Você usa chamadas de API AWS publicadas para acessar AWS WAF pela rede. Os clientes devem oferecer compatibilidade com:
+ Transport Layer Security (TLS). Exigimos TLS 1.2 e recomendamos TLS 1.3.
+ Conjuntos de criptografia com perfect forward secrecy (PFS) como DHE (Ephemeral Diffie-Hellman) ou ECDHE (Ephemeral Elliptic Curve Diffie-Hellman). A maioria dos sistemas modernos, como Java 7 e versões posteriores, comporta esses modos.

# AWS WAF cotas
<a name="limits"></a>

**nota**  
Esta é a versão mais recente do AWS WAF. Para AWS WAF Classic, consulte[AWS WAF clássico](classic-waf-chapter.md).

AWS WAF está sujeito às seguintes cotas (anteriormente chamadas de limites). Essas cotas são as mesmas para todas as regiões em que AWS WAF está disponível. Cada região está sujeita a essas cotas individualmente. As cotas não são cumulativas entre regiões.

AWS WAF tem cotas padrão no número máximo de entidades que você pode ter por conta. Você pode [solicitar um aumento](https://console.aws.amazon.com/servicequotas/home/services/wafv2/quotas) dessas cotas.


| Recurso | Cota padrão por conta por região | 
| --- | --- | 
|  Número máximo de pacotes de proteção (web ACLs)  |  100  | 
|  Número máximo de grupos de regras   |  100  | 
| Número máximo de conjuntos de IP  |  100  | 
| Número máximo de solicitações por segundo por pacote de proteção (ACL da Web)  |  100.000  | 
| Número máximo de cabeçalhos de solicitação personalizada por pacote de proteção (ACL da Web) ou grupo de regras | 100 | 
| Número máximo de cabeçalhos de resposta personalizada por pacote de proteção (ACL da Web) ou grupo de regras | 100 | 
| Número máximo de corpos de resposta personalizada por pacote de proteção (ACL da Web) ou grupo de regras | 50 | 
| Número máximo de domínios de tokens em uma lista de domínios de tokens de um pacote de proteção (ACL da Web) | 10 | 
| Número máximo de conjuntos de padrões regex  |  10  | 
| Número máximo de associações de Application Load Balancer por pacote de proteção (ACL da Web) | 100  | 

O máximo de solicitações por segundo (RPS) permitido AWS WAF em CloudFront é definido CloudFront e descrito no [Guia do CloudFront Desenvolvedor](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cloudfront-limits.html).

AWS WAF tem cotas fixas nas seguintes configurações de entidade por conta por região. Essas cotas não podem ser alteradas.


| Recurso | Cotas por conta por região | 
| --- | --- | 
|  Unidades de capacidade máxima do pacote de proteção (Web ACL) (WCUs) por pacote de proteção (Web ACL) \$1  |  5.000  | 
| Máximo WCUs por grupo de regras |  5.000  | 
| Número máximo de instruções de referência por grupo de regras. Em um grupo de regras, uma instrução de referência pode fazer referência a um conjunto de IPs ou a um conjunto de padrões regex. |  50  | 
| Número máximo de instruções de referência por pacote de proteção (ACL da Web). Em um pacote de proteção (ACL da Web), uma instrução de referência pode referenciar um grupo de regras, um conjunto de IPs ou um conjunto de padrões regex. |  50  | 
| Número máximo de endereços IP na notação CIDR por conjunto de IP |  10.000  | 
| Número máximo de regras baseadas em taxas por pacote de proteção (ACL da Web)  |  10  | 
| Número máximo de regras com base em intervalos por grupo de regras |  4  | 
| Taxa mínima de solicitação que pode ser definida para uma regra baseada em taxa |  10  | 
| Número máximo de endereços IP exclusivos que podem ter um intervalo limitado por regra baseada em intervalos |  10.000  | 
| Número máximo de caracteres permitidos para uma instrução de correspondência de string |  200  | 
| Número máximo de caracteres em cada padrão regex |  200  | 
| Número máximo de padrões de regex exclusivos por conjunto de padrões de regex |  10  | 
| Tamanho máximo do corpo de uma solicitação da Web que pode ser inspecionado quanto ao Application Load AWS AppSync Balancer e às proteções |  8 KB  | 
| Tamanho máximo de um corpo de solicitação da web que pode ser inspecionado CloudFront, API Gateway, Amazon Cognito, App Runner e proteções de acesso verificado\$1\$1 |  64 KB  | 
| Número máximo de transformações de texto por instrução de regra |  10  | 
| Tamanho máximo do conteúdo do corpo de resposta personalizada para uma única definição de resposta personalizada |  4 KB  | 
| Número máximo de cabeçalhos personalizados para uma única definição de resposta personalizada |  10  | 
| Número máximo de cabeçalhos personalizados para uma única definição de solicitação personalizada |  10  | 
| Tamanho máximo combinado de todo conteúdo de corpo de resposta para um único grupo de regras ou um único pacote de proteção (ACL da Web) |  50 KB  | 
| Número máximo de códigos de país de correspondência geográfica contidos em uma única regra  |  50  | 

\$1Usar mais de 1.500 WCUs em um pacote de proteção (web ACL) gera custos além do preço do pacote de proteção básico (web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

\$1\$1Por padrão, o limite de inspeção corporal é definido em 16 KB para CloudFront os recursos do API Gateway, Amazon Cognito, App Runner e Verified Access, mas você pode aumentá-lo para qualquer um desses recursos na configuração do pacote de proteção (web ACL), até o máximo listado. Para obter mais informações, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md).

AWS WAF tem as seguintes cotas fixas de chamadas por conta por região. Essas cotas se aplicam ao total de chamadas para o serviço por qualquer meio disponível, incluindo o console, a CLI AWS CloudFormation, a API REST e o. SDKs Essas cotas não podem ser alteradas.


| Tipo de chamada | Cotas por conta por região | 
| --- | --- | 
| Número máximo de chamadas para AssociateWebACL |  Um pedido a cada 2 segundos   | 
| Número máximo de chamadas para DisassociateWebACL |  Um pedido a cada 2 segundos   | 
| Número máximo de chamadas para GetWebACLForResource  |  Um pedido por segundo  | 
| Número máximo de chamadas para ListResourcesForWebACL |  Um pedido por segundo  | 
| Número máximo de chamadas para GetDecryptedAPIKey |  Um pedido a cada 2 segundos  | 
| Número máximo de chamadas para qualquer ação Get ou List individual, se nenhuma outra cota for definida para ela  |  Cinco solicitações por segundo  | 
| Número máximo de chamadas para qualquer ação Create, Put ou Update individual, se nenhuma outra cota for definida para ela  |  Um pedido por segundo  | 

AWS WAF tem as seguintes cotas fixas em chamadas de todas as contas em uma única organização em AWS Organizations. Essas cotas se aplicam ao total de chamadas para o serviço por qualquer meio disponível, incluindo o console, a CLI AWS CloudFormation, a API REST e o. SDKs Essas cotas não podem ser alteradas.


| Tipo de chamada | Cota por organização em uma única região | 
| --- | --- | 
| Número máximo de chamadas de todas as contas em uma organização para ListResourcesForWebACL, em qualquer região para as regiões Leste dos EUA (Norte da Virgínia) (us-east-1), Oeste dos EUA (Oregon) (us-west-2) ou Europa (Irlanda) (eu-west-1).  |  12 solicitações por segundo  | 
| Número máximo de chamadas de todas as contas de uma organização para ListResourcesForWebACL, em qualquer região que não tenha uma cota diferente listada nesta tabela.  |  6 solicitações por segundo  | 

# Migrando seus recursos AWS WAF clássicos para AWS WAF
<a name="waf-migrating-from-classic"></a>

**Atenção**  
AWS WAF O clássico está passando por um end-of-life processo planejado. Consulte seu AWS Health painel para ver os marcos e datas específicos da sua região.

**nota**  
Esta é a documentação do **AWS WAF**. Você só deve usar essa versão se tiver criado AWS WAF recursos, como regras e web ACLs, AWS WAF antes de novembro de 2019 e ainda não os tiver migrado para a versão mais recente. Para migrar sua web ACLs, consulte[Migrando seus recursos AWS WAF clássicos para AWS WAF](#waf-migrating-from-classic).  
**Para obter a versão mais recente do AWS WAF**, consulte[AWS WAF](waf-chapter.md). 

Esta seção fornece orientação para migrar suas regras e pacotes de proteção (web ACLs) do AWS WAF Classic para o. AWS WAF AWS WAF foi lançado em novembro de 2019. Se você criou recursos como regras e pacotes de proteção (web ACLs) usando o AWS WAF Classic, precisará trabalhar com eles usando o AWS WAF Classic ou migrá-los para a versão mais recente. 

**Atenção**  
AWS WAF O suporte clássico terminará em 30 de setembro de 2025. 

Antes de começar seu trabalho de migração, familiarize-se AWS WAF lendo[AWS WAF](waf-chapter.md).

**Topics**
+ [

# Por que migrar para AWS WAF?
](waf-migrating-why-migrate.md)
+ [

# Limitações e advertências de migração
](waf-migrating-caveats.md)
+ [

# Como funciona a migração
](waf-migrating-how-it-works.md)
+ [

# Migração de um pacote de proteção (web ACL) do Classic para AWS WAF AWS WAF
](waf-migrating-procedure.md)

# Por que migrar para AWS WAF?
<a name="waf-migrating-why-migrate"></a>

A versão mais recente do AWS WAF fornece muitas melhorias em relação à versão anterior, mantendo a maioria dos conceitos e terminologia com os quais você está acostumado. 

A lista a seguir descreve as principais alterações na versão mais atual do AWS WAF. Antes de continuar com a migração, reserve um tempo para revisar essa lista e se familiarizar com o restante do AWS WAF guia. 
+ **O suporte ao AWS WAF Classic terminará em 30 de setembro de 2025.** 
+ **AWS Regras gerenciadas para AWS WAF** — Os grupos de regras agora disponíveis por meio de regras AWS gerenciadas oferecem proteção contra ameaças comuns na web. A maioria desses grupos de regras está incluída gratuitamente no AWS WAF. Para obter mais informações, consulte [AWS Lista de grupos de regras de regras gerenciadas](aws-managed-rule-groups-list.md) e a postagem do blog [Anunciando regras AWS gerenciadas para AWS WAF](https://aws.amazon.com/blogs/aws/announcing-aws-managed-rules-for-aws-waf/).
+ **Nova AWS WAF API** — A nova API permite que você configure todos os seus AWS WAF recursos usando um único conjunto de APIs. Para distinguir entre aplicativos regionais e globais, a nova API inclui uma configuração `scope`. Para obter mais informações sobre a API, consulte [AWS WAFV2 Ações](https://docs.aws.amazon.com/waf/latest/APIReference/API_Operations_AWS_WAFV2.html) e [tipos de AWS WAFV2 dados](https://docs.aws.amazon.com/waf/latest/APIReference/API_Types_AWS_WAFV2.html).

  No APIs,, SDKs, e CLIs AWS CloudFormation, o AWS WAF Classic mantém seus esquemas de nomenclatura e essa versão mais recente do AWS WAF é referida com um `V2` ou adicionado`v2`, dependendo do contexto.
+ **Cotas de serviço simplificadas (limites)** — AWS WAF agora permite mais regras por pacote de proteção (Web ACL) e permite que você expresse padrões de regex mais longos. Para obter mais informações, consulte [AWS WAF cotas](limits.md).
+ As **necessidades de computação determinam os limites de capacidade** — Os limites dos pacotes de proteção (web ACLs) agora se baseiam nas unidades de capacidade () do pacote de proteção (Web ACL). WCUs AWS WAF calcula a regra de WCUs acordo com a capacidade operacional necessária. O total WCUs de um pacote de proteção (Web ACL) é igual à soma de todas as suas regras e grupos WCUs de regras.

  Para obter informações gerais sobre WCU, consulte [Como AWS WAF funciona](how-aws-waf-works.md). Para obter informações sobre o uso de cada regra no WCU, consulte [Usando declarações de regras em AWS WAF](waf-rule-statements.md).
+ **Redação de regras com base em documentos** — Agora você pode escrever e expressar regras, grupos de regras e pacotes de proteção (web ACLs) no formato JSON. Não é mais necessário usar chamadas de API individuais para criar condições diferentes e associar as condições a uma regra. Isso simplifica muito a forma como você escreve e mantém seu código. Você pode acessar o formato JSON dos seus pacotes de proteção (web ACLs) por meio do console quando estiver visualizando o pacote de proteção (web ACL), escolhendo **Baixar pacote de proteção (web ACL**) como JSON. Ao criar sua própria regra, você pode acessar sua representação JSON escolhendo o **Rule JSON editor (editor de regra JSON)**.
+ **Aninhamento de regras e suporte completo de operação lógica**: você pode escrever regras combinadas complexas usando instruções de regra lógica e aninhamento. É possível criar instruções como `[A AND NOT(B OR C)]`. Para obter mais informações, consulte [Usando declarações de regras lógicas em AWS WAF](waf-rule-statements-logical.md).
+ **Regras aprimoradas com base em taxas** — Na versão mais recente do AWS WAF, você pode personalizar a janela de tempo que a regra avalia e como a regra agrega as solicitações. Você pode personalizar a agregação usando combinações de várias características de solicitações da web. Além disso, as regras mais recentes baseadas em intervalos reagem mais rapidamente às mudanças no tráfego. Para saber mais, consulte [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md). 
+ **Suporte de gama CIDR variável para especificações de conjunto**: As especificações do conjunto de IP agora têm mais flexibilidade nos intervalos IP. Para IPv4, AWS WAF suporta `/1` `/32` a. Para IPv6, AWS WAF suporta `/1` `/128` a. Para saber mais sobre os conjuntos de IP, consulte [Instrução de regra de correspondência de conjunto de IPs](waf-rule-statement-type-ipset-match.md).
+ Transformações de **texto encadeáveis — AWS WAF pode realizar várias transformações** de texto no conteúdo da solicitação da Web antes de inspecioná-lo. Para obter mais informações, consulte [Usando transformações de texto em AWS WAF](waf-rule-statement-transformation.md).
+ **Experiência de console aprimorada** — O novo AWS WAF console apresenta um criador de regras visual e um design de console mais intuitivo para o usuário. 
+ **Opções expandidas para AWS WAF políticas do Firewall Manager** — No gerenciamento de pacotes de AWS WAF proteção (web ACLs) do Firewall Manager, agora você pode criar um conjunto de grupos de regras que são AWS WAF processados primeiro e um conjunto de grupos de regras que são AWS WAF processados por último. Depois de aplicar a AWS WAF política, os proprietários de contas locais podem adicionar seus próprios grupos de regras que AWS WAF são processados entre esses dois conjuntos. Para saber mais sobre as políticas do AWS WAF Firewall Manager, consulte [Usando AWS WAF políticas com o Firewall Manager](waf-policies.md). 
+ **AWS CloudFormation suporte para todos os tipos de declaração de regra** — o AWS WAF in AWS CloudFormation oferece suporte a todos os tipos de declaração de regra compatíveis com o AWS WAF console e a API. Além disso, você pode facilmente converter as regras que você escreve no formato JSON para o formato YAML. 



# Limitações e advertências de migração
<a name="waf-migrating-caveats"></a>

A migração lida apenas com as configurações do pacote de proteção (web ACL), e a migração do pacote de proteção (web ACL) não traz todas as configurações exatamente como você as tem no Classic. AWS WAF Alguns itens de configuração exigem configuração manual em AWS WAF (v2). Algumas coisas não são mapeadas exatamente entre as duas versões, e você precisará decidir como deseja configurar a funcionalidade na AWS WAF (v2). Algumas configurações, como as associações do pacote de proteção (ACL da Web) com recursos da AWS , são desabilitadas inicialmente na nova versão para que você possa adicioná-las quando estiver pronto. 

A lista a seguir descreve as advertências da migração e todas as etapas que você pode executar em resposta. Use esta visão geral para planejar a migração. As etapas detalhadas de migração, posteriormente, compartilham as etapas de mitigação recomendadas. 
+ **Migração de conta única** — Você só pode migrar recursos AWS WAF clássicos de qualquer conta para AWS WAF recursos da mesma conta. 
+ **Somente configurações de pacotes de proteção (web ACL)** — A migração migra somente pacotes de proteção (web ACLs) e recursos que os pacotes de proteção (web) estão usando. ACLs Para migrar um recurso, como um grupo de regras ou conjunto de IP, que não é usado por nenhuma ACL da web migrada, crie manualmente o recurso em AWS WAF (v2).
+ **Sem regras AWS Marketplace gerenciadas** — A migração não traz nenhuma regra gerenciada dos AWS Marketplace vendedores. Alguns AWS Marketplace vendedores têm regras gerenciadas equivalentes para AWS WAF que você possa assinar novamente. Antes de fazer isso, revise as regras AWS gerenciadas fornecidas com a versão mais recente do AWS WAF. A maioria deles é gratuita para AWS WAF os usuários. Para obter informações sobre regras gerenciadas, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md). 
+ **Nenhuma associação do pacote de proteção (ACL da Web)**: a migração não traz nenhuma associação entre o pacote de proteção (ACL da Web) e os recursos protegidos. Isso é feito por projeto, para evitar afetar sua workload de produção. Depois de verificar se tudo foi migrado corretamente, associe o novo pacote de proteção (ACL da Web) aos recursos.
+ **Registro em log desabilitado**: o registro em log do pacote de proteção (ACL da Web) migrado é desabilitado por padrão. Isso faz parte do design. Ative o registro quando estiver pronto para mudar do AWS WAF Classic para AWS WAF o.
+ **Sem grupos de AWS Firewall Manager regras** — A migração não lida com grupos de regras gerenciados pelo Firewall Manager. Você pode migrar um pacote de proteção (ACL da Web) gerenciado pelo Firewall Manager, mas a migração não traz o grupo de regras. Em vez de usar a ferramenta de migração para esses pacotes de proteção (web ACLs), recrie a política para o novo AWS WAF no Firewall Manager. 
**nota**  
Os grupos de regras que o Firewall Manager gerenciou para o AWS WAF Classic foram grupos de regras do Firewall Manager. Com a nova versão do AWS WAF, os grupos de regras são grupos de AWS WAF regras. Funcionalmente, eles são iguais. 
+ **AWS WAF Advertência sobre automações de segurança**: não tente migrar nenhuma automação de segurança. AWS WAF A migração não converte funções do Lambda, que podem estar em uso pelas automações. Em vez disso, considere implantar as automações para a versão mais recente. Para obter informações, consulte [Automações de segurança do AWS WAF](https://aws.amazon.com/solutions/aws-waf-security-automations/).

# Como funciona a migração
<a name="waf-migrating-how-it-works"></a>

Você pode migrar sua web AWS WAF Classic para ACLs a AWS WAF v2 usando vários métodos. Siga estas etapas para concluir sua migração.

**Para migrar da para AWS WAF Classic a v2 AWS WAF**

1. Identifique sua AWS WAF Classic web ACLs:
   + Veja uma lista da sua web ACLs no AWS Health painel.
   + Use o [script de limpeza de ACL AWS WAF Classic da web](         https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-cleanup          ) para obter uma lista de toda a sua web ACLs e suas associações. Isso ajuda a identificar quais sites ACLs estão protegendo ativamente os recursos e permite que você exclua sites ACLs não utilizados.

1. Migre a web ACLs individual:
   + Siga o processo de migração no [Guia do desenvolvedor do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-migrating-procedure.html).
   + Use o assistente de migração para analisar sua ACL AWS WAF Classic da web e gerar um AWS CloudFormation modelo.
   + Use o modelo gerado para criar uma ACL web AWS WAF v2 equivalente e concluir a migração.

1. Para vários sites qualificados ACLs:
   + Use o [script de migração AWS WAF em massa](https://github.com/aws-samples/sample-for-waf-classic-to-wafv2-migrate-and-cleanup/tree/main/scripts/waf-classic-migration          ) para migrar vários AWS WAF Classic sites qualificados ACLs simultaneamente.

1. Para web ACLs gerenciada por AWS Firewall Manager:
   + As políticas do Firewall Manager usam ACLs a AWS WAF Classic web com AWS WAF Classic políticas. Para políticas do Shield Advanced criadas antes de janeiro de 2022, o Firewall Manager também usa a AWS WAF Classic web ACLs. Você deve migrar essas políticas para usar a AWS WAF v2 web. ACLs

     Siga as instruções em [Migrando a AWS WAF Classic Web ACLs no Firewall Manager](migrate-waf-classic-fms.md).

**Importante**  
Recomendamos revisar cada web migrada para ACLto garantir que ela atenda aos seus requisitos de segurança antes de associá-la aos seus recursos.

# Migração de um pacote de proteção (web ACL) do Classic para AWS WAF AWS WAF
<a name="waf-migrating-procedure"></a>

A migração automatizada transfere a maior parte da configuração do pacote de proteção AWS WAF clássico (Web ACL), deixando algumas coisas que você precisa manipular manualmente.

**nota**  
Algumas configurações de proteção não podem ser migradas automaticamente e exigem configuração manual na AWS WAF (v2). Veja a lista em [Limitações e advertências de migração](waf-migrating-caveats.md).

As etapas abaixo mostram como migrar um pacote de proteção (ACL da Web). 

1. A migração automatizada lê tudo relacionado ao seu pacote de proteção existente (Web ACL), sem modificar ou excluir nada no Classic. AWS WAF Ele cria uma representação da ACL da web e de seus recursos relacionados, compatível com o. AWS WAF Ela gera um modelo de CloudFormation para a novo pacote de proteção (ACL da Web) e o armazena em um bucket do Amazon S3. 

1. Você implanta o modelo em CloudFormation, a fim de recriar o pacote de proteção (Web ACL) e os recursos relacionados em. AWS WAF

1. Revise o pacote de proteção (ACL da Web) e conclua manualmente a migração, certificando-se de que a novo pacote de proteção (ACL da Web) aproveite ao máximo os recursos mais recentes do AWS WAF. 

1. Alterne manualmente os recursos protegidos para a novo pacote de proteção (ACL da Web). 

**Topics**
+ [

# Migrar um pacote de proteção (ACL da Web): migração automatizada
](waf-migrating-procedure-automatic.md)
+ [

# Migrar um pacote de proteção (ACL da Web): acompanhamento manual
](waf-migrating-procedure-manual-finish.md)
+ [

# Migrar um pacote de proteção (ACL da Web): considerações adicionais
](waf-migrating-procedure-additional.md)
+ [

# Migrar um pacote de proteção (ACL da Web): transição
](waf-migrating-procedure-switchover.md)

# Migrar um pacote de proteção (ACL da Web): migração automatizada
<a name="waf-migrating-procedure-automatic"></a>

**Para migrar automaticamente uma configuração de pacote de proteção (Web ACL) do Classic para AWS WAF AWS WAF**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **Alternar para o AWS WAF clássico** e revise suas configurações do pacote de proteção (Web ACL). Anote as configurações, considerando as advertências e limitações descritas na seção anterior, [Limitações e advertências de migração](waf-migrating-caveats.md).

1. **No diálogo informativo na parte superior, localize a frase que começa com **Pacotes de proteção do Migrate (web ACLs)** e escolha o link para o assistente de migração.** Essa ação iniciará o assistente de migração.

   Se você não vê a caixa de diálogo informativa, talvez a tenha fechado desde que iniciou o console AWS WAF clássico. Na barra de navegação, escolha **Alternar para novo** e AWS WAF escolha **Alternar para AWS WAF clássico**, e o diálogo informativo deve reaparecer.

1. Selecione o pacote de proteção (ACL da Web) que você deseja migrar. 

1. Em **Configuração de migração**, forneça um bucket do Amazon S3 a ser usado para o modelo. Você precisa de um bucket do Amazon S3 que esteja configurado corretamente para a API de migração, para armazenar o AWS CloudFormation modelo que ele gera. 
   + Se o bucket for criptografado, a criptografia deverá usar chaves do Amazon S3 (SSE-S3). A migração não oferece suporte à criptografia com chaves AWS Key Management Service (SSE-KMS).
   + O nome do bucket deve começar com `aws-waf-migration-`. Por exemplo, .`aws-waf-migration-my-web-acl`
   + O bucket precisa estar na região em que você está implantando o modelo. Por exemplo, para um pacote de proteção (ACL da Web) na região `us-west-2`, você deve usar um bucket do Amazon S3 na região `us-west-2` e implantar a pilha de modelos na região `us-west-2`. 

1. Em **Política de buckets do S3**, recomendamos escolher **Aplicar automaticamente a política de bucket necessária para a migração**. Como opção, se quiser gerenciar o bucket por conta própria, você deverá aplicar manualmente a seguinte política de bucket: 
   + Para CloudFront aplicativos globais da Amazon (`waf`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------
   + Para aplicativos regionais do Amazon API Gateway ou do Application Load Balancer (`waf-regional`):

------
#### [ JSON ]

****  

     ```
     {
         "Version":"2012-10-17",		 	 	 
         "Statement": [
             {
                 "Effect": "Allow",
                 "Principal": {
                     "Service": "apiv2migration.waf-regional.amazonaws.com"
                 },
                 "Action": "s3:PutObject",
                 "Resource": "arn:aws:s3:::<BUCKET_NAME>/AWSWAF/<CUSTOMER_ACCOUNT_ID>/*"
             }
         ]
     }
     ```

------

1. Em **Choose how to handle rules that cannot be migrated (Escolher como lidar com regras que não podem ser migradas)**, escolha excluir as regras que não podem ser migradas ou interromper a migração. Para obter informações sobre as regras que não podem ser migradas, consulte [Limitações e advertências de migração](waf-migrating-caveats.md). 

1. Escolha **Próximo**. 

1. Em **Criar CloudFormation modelo**, verifique suas configurações e escolha **Começar a criar CloudFormation modelo** para iniciar o processo de migração. Isso pode levar alguns minutos, dependendo da complexidade do pacote de proteção (ACL da Web).

1. Em **Criar e executar uma CloudFormation pilha para concluir a migração**, você pode optar por acessar o AWS CloudFormation console para criar uma pilha a partir do modelo e criar o novo pacote de proteção (Web ACL) e seus recursos. Para fazer isso, escolha **Criar CloudFormation pilha**. 

Após a conclusão do processo de migração automática, você estará pronto para seguir as etapas manuais de acompanhamento. Consulte [Migrar um pacote de proteção (ACL da Web): acompanhamento manual](waf-migrating-procedure-manual-finish.md).

# Migrar um pacote de proteção (ACL da Web): acompanhamento manual
<a name="waf-migrating-procedure-manual-finish"></a>

Após a conclusão da migração automatizada, revise o pacote de proteção (ACL da Web) recém-criado e preencha os componentes que a migração não transferiu para você. O procedimento a seguir aborda os aspectos do gerenciamento de pacotes de proteção (ACLs da Web) que a migração não processa. Para ver a lista, consulte [Limitações e advertências de migração](waf-migrating-caveats.md).

**Para concluir a migração básica: etapas manuais**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. O console deve usar automaticamente a versão mais recente do AWS WAF. Para verificar isso, no painel de navegação, verifique se você pode ver a opção **Alternar para o AWS WAF clássico**. Se você ver **Alternar para novo AWS WAF**, escolha essa opção para mudar para a versão mais recente. 

1. No painel de navegação, escolha **pacotes de proteção (web ACLs)**. 

1. Na página de **pacotes de proteção (web ACLs)**, localize seu novo pacote de proteção (web ACL) na lista da região em que você o criou. Escolha o nome do pacote de proteção (ACL da Web) para exibir as configurações. 

1. Revise todas as configurações do novo pacote de proteção (web ACL) em relação à sua ACL web AWS WAF clássica anterior. Por padrão, o log e as associações de recursos protegidos são desabilitados. Ative-os quando estiver pronto para mudar. 

1. Se seu pacote de proteção AWS WAF clássico (web ACL) tinha um grupo de regras gerenciado, a inclusão do grupo de regras não foi incluída na migração. Você poderá adicionar grupos de regras gerenciadas ao novo pacote de proteção (ACL da Web). Analise as informações sobre grupos de regras gerenciadas, incluindo a lista de regras AWS gerenciadas que estão disponíveis com a nova versão do AWS WAF, em[Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md). Para adicionar um grupo de regras gerenciadas, faça o seguinte:

   1. Na página de configurações do pacote de proteção (ACL da Web), escolha a guia **Regras** do pacote de proteção (ACL da Web). 

   1. Escolha **Add rules (Adicionar regras)** e **Add managed rule groups (Adicionar grupos de regras gerenciadas)**.

   1. Expanda a listagem do fornecedor da sua escolha e selecione os grupos de regras que você quer adicionar. Para AWS Marketplace vendedores, talvez seja necessário se inscrever nos grupos de regras. Para saber mais sobre como usar grupos de regras gerenciadas no pacote de proteção (ACL da Web), consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md) e [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

Depois de concluir o processo básico de migração, recomendamos que você analise suas necessidades e considere opções adicionais, para ter certeza de que a nova configuração é a mais eficiente possível e que você está usando as opções de segurança mais recentes disponíveis. Consulte [Migrar um pacote de proteção (ACL da Web): considerações adicionais](waf-migrating-procedure-additional.md).

# Migrar um pacote de proteção (ACL da Web): considerações adicionais
<a name="waf-migrating-procedure-additional"></a>

Analise seu novo pacote de proteção (Web ACL) e considere as opções disponíveis no novo AWS WAF para garantir que a configuração seja a mais eficiente possível e que esteja usando as opções de segurança mais recentes disponíveis. 

**Regras AWS gerenciadas adicionais**  
Considere implementar regras AWS gerenciadas adicionais em seu pacote de proteção (web ACL) para aumentar a postura de segurança do seu aplicativo. Estes estão incluídos sem AWS WAF custo adicional. AWS As regras gerenciadas apresentam os seguintes tipos de grupos de regras: 
+ Os grupos de regras de linha de base fornecem proteção geral contra várias ameaças comuns, como o impedimento de entradas nocivas conhecidas no seu aplicativo e o acesso à página de administração. 
+ Os grupos de regras específicos de caso de uso fornecem proteção incremental para muitos casos de uso e ambientes.
+ As listas de reputação de IP fornecem informações sobre ameaças com base no IP de origem do cliente.

Para saber mais, consulte [AWS Regras gerenciadas para AWS WAF](aws-managed-rule-groups.md).

**Otimização e limpeza das regras**  
Revise suas regras antigas e considere otimizá-las reescrevendo-as ou removendo aquelas que estiverem desatualizadas. Por exemplo, se no passado você implantou um AWS CloudFormation modelo do artigo técnico sobre as 10 principais vulnerabilidades de aplicativos Web do OWASP, [Prepare-se para o uso das 10 principais vulnerabilidades de aplicativos da Web do OWASP AWS WAF e nosso novo white paper](https://aws.amazon.com/blogs/aws/prepare-for-the-owasp-top-10-web-application-vulnerabilities-using-aws-waf-and-our-new-white-paper/), considere substituí-lo por regras gerenciadas. AWS Embora o conceito encontrado no documento ainda seja aplicável e possa ajudá-lo a escrever suas próprias regras, as regras criadas pelo modelo foram amplamente substituídas pelas Regras AWS gerenciadas.

**CloudWatch Métricas e alarmes da Amazon**  
Revise suas CloudWatch métricas da Amazon e configure alarmes conforme necessário. A migração não transporta alarmes do CloudWatch , e é possível que os nomes das métricas não sejam o que você deseja. 

**Reveja com sua equipe de aplicativos**  
Trabalhe com sua equipe de aplicativos e verifique sua segurança. Descubra quais campos são analisados com frequência pelo aplicativo e adicione regras para depurar a entrada de forma adequada. Verifique se há casos com lacunas e adicione regras para detectar esses casos se a lógica de negócios do aplicativo não conseguir processá-los. 

**Planeje a transição**  
Planeje o cronograma da transição com sua equipe de aplicativos. A mudança da antiga associação de pacote de proteção (ACL da Web) para a nova pode levar um pouco de tempo para se propagar para todas as áreas onde seus recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. Durante esse período, algumas solicitações serão processadas pelo antigo pacote de proteção (ACL da Web) e outras serão processadas pelo novo pacote de proteção (ACL da Web). Seus recursos estarão protegidos durante toda a mudança, mas você poderá notar inconsistências no tratamento da solicitação enquanto a mudança estiver em andamento. 

Quando estiver pronto para mudar, siga o procedimento em [Migrar um pacote de proteção (ACL da Web): transição](waf-migrating-procedure-switchover.md).

# Migrar um pacote de proteção (ACL da Web): transição
<a name="waf-migrating-procedure-switchover"></a>

Depois de verificar as novas configurações do pacote de proteção (ACL da Web), você pode começar a usá-lo no lugar do pacote de proteção (ACL da Web) do AWS WAF Classic. 

**Para começar a usar seu novo pacote AWS WAF de proteção (web ACL)**

1. Associe o pacote de AWS WAF proteção (Web ACL) aos recursos que você deseja proteger, seguindo as orientações em[Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md). Isso automaticamente desassocia os recursos do pacote de proteção (ACL da Web) antigo. 

   A mudança pode levar de alguns segundos a alguns minutos para se propagar. Durante esse tempo, algumas solicitações podem ser processadas pela antigo pacote de proteção (ACL da Web) e outras pela novo pacote de proteção (ACL da Web). Seus recursos estarão protegidos durante toda a mudança, mas você poderá notar inconsistências no tratamento da solicitação até que ela seja concluída. 

1. Configure o registro em log para a novo pacote de proteção (ACL da Web), seguindo as orientações em [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md). 

1. (Opcional) Se seu pacote de proteção AWS WAF Classic (Web ACL) não estiver mais associado a nenhum recurso, considere removê-lo totalmente do AWS WAF Classic. Para mais informações, consulte [Exclusão de uma ACL da web](classic-web-acl-deleting.md).