Como criar uma ACL da Web no AWS WAF
Esta seção fornece procedimentos para criar ACLs da Web pelo console AWS.
Para criar uma nova web ACL, use o assistente de criação de web ACL seguindo o procedimento encontrado nesta página.
Risco de tráfego de produção
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte Testar e ajustar suas proteções do AWS WAF.
nota
O uso de mais de 1.500 WCUs em uma web ACL gera custos além do preço básico da web ACL. Para obter mais informações, consulte Noções básicas das unidades de capacidade de ACL da Web (WCUs) no AWS WAF e Definição de preço do AWS WAF
Para criar uma web ACL
Faça login no AWS Management Console e abra o console do AWS WAF em https://console.aws.amazon.com/wafv2/
. -
Escolha Web ACLs (:web ACLs) no painel de navegação e escolha Create web ACL (Criar web ACL).
-
Em Nome, insira o nome que deseja usar para identificar esta web ACL.
nota
Você não pode alterar o nome depois de criar a web ACL.
-
(Opcional) Em Descrição: opcional, insira uma descrição mais longa para a web ACL, se desejar.
-
Em Nome da métrica do CloudWatch, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métrica reservados para o AWS WAF, incluindo “All” e “Default_Action”.
nota
Você não pode alterar o nome da métrica do CloudWatch depois de criar a web ACL.
-
Em Tipo de recurso, escolha a categoria de recurso da AWS que você deseja associar a essa web ACL, sejam distribuições do Amazon CloudFront ou recursos regionais. Para ter mais informações, consulte Associar ou desassociar uma web ACL com um recurso AWS.
-
Em Região, se você escolheu um tipo de recurso regional, selecione a região na qual deseja que o AWS WAF armazene a web ACL.
Só é necessário escolher essa opção para tipos de recursos regionais. Para distribuições do CloudFront, a região é tem codificação rígida para a Região Leste dos EUA (Norte da Virgínia),
us-east-1
, para aplicativos globais (CloudFront). -
(CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Para Limite de tamanho de inspeção por solicitação da Web (opcional), se você quiser especificar um limite de tamanho de corpo de inspeção diferente, selecione o limite. Como inspecionar tamanhos de corpo acima do padrão de 16 KB pode gerar custos adicionais. Para obter mais informações sobre esta opção, consulte Como gerenciar limites de tamanho de inspeção de corpo para AWS WAF.
-
(Opcional) Para recursos associados da AWS: opcional, se você quiser especificar seus recursos agora, escolha Adicionar recursos da AWS. Na caixa de diálogo, escolha os recursos que deseja associar e, em seguida, escolha Adicionar. O AWS WAF retorna você à página Descrever web ACL e recursos da AWS associados.
-
Escolha Próximo.
-
(Opcional) Se quiser adicionar grupos de regras gerenciadas, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add managed rule groups (Adicionar grupos de regras gerenciados). Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:
-
Na página Add managed rule groups (Adicionar grupos de regras gerenciadas) expanda a listagem para grupos de regras gerenciadas da AWS ou para o vendedor do AWS Marketplace de sua escolha.
-
Para o grupo de regras que você deseja adicionar, ative a alternância Adicionar à web ACL na coluna Ação .
Para personalizar como sua web ACL usa o grupo de regras, escolha Editar. A seguir, são mostradas as configurações de personalização comuns:
-
Substitua as ações da regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte Como substituir ações de grupos de regras no AWS WAF.
-
Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo. Para obter mais informações sobre esta opção, consulte Como usar instruções de escopo reduzido no AWS WAF.
-
Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras das regras gerenciadas da AWS, consulte Como se proteger contra ameaças comuns da Web com regras gerenciadas da AWS para o AWS WAF.
Ao concluir suas configurações, escolha Salvar regra.
-
Escolha Add rules (Adicionar regras) para concluir a adição de regras gerenciadas e retornar à página Add rules and rule groups (Adicionar regras e grupos de regras).
nota
Se você adicionar mais de uma regra a uma web ACL, o AWS WAF avaliará as regras na ordem em que elas estiverem listadas na web ACL. Para ter mais informações, consulte Como usar ACLs da Web com regras e grupos de regras no AWS WAF.
-
-
(Opcional) Se quiser adicionar seu próprio grupo de regras, na página Add rules and rule groups (Adicionar regras e grupos de regras) escolha Add rules (Adicionar regras), e, em seguida, escolha Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras). Faça o seguinte para cada grupo de regras que você deseja adicionar:
-
Na página Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras) escolha Rule group (Grupo de regras).
-
Em Nome, insira o nome que você deseja usar para a regra do grupo de regras nessa web ACL. Não use nomes que comecem com
AWS
,Shield
,PreFM
ouPostFM
. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte Como reconhecer grupos de regras fornecidos por outros serviços. -
Escolha seu grupo de regras na lista.
nota
Se você quiser substituir as ações de regra de um grupo de regras próprio, primeiro salve-as na ACL da Web e, em seguida, edite a ACL da Web e a instrução de referência do grupo de regras na lista de regras da ACL da Web. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.
-
Escolha Adicionar regra.
-
-
(Opcional) Se você quiser adicionar sua própria regra, na página Add rules and rule groups (Adicionar regras e grupos de regras), escolha Add rules (Adicionar regras), Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras), Rule builder (Construtor de regras), e Editor visual de regras.
nota
O console Editor visual de regras oferece suporte a um nível de aninhamento. Por exemplo, você pode usar uma única instrução
AND
ouOR
lógica e aninhar um nível de outras instruções dentro dela, mas você não pode aninhar instruções lógicas dentro de instruções lógicas. Para gerenciar instruções de regra mais complexas, use o Editor JSON de regras. Para obter informações sobre todas as opções de regras, consulte Usar regras do AWS WAF.Este procedimento abrange o Editor visual de regras.
-
Em Nome, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com
AWS
,Shield
,PreFM
ouPostFM
. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. -
Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra
AND
eOR
lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte Usar regras do AWS WAF. -
Em Action (Ação), selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte Como usar ações de regras no AWS WAF e Como usar ACLs da Web com regras e grupos de regras no AWS WAF.
Se você estiver usando a ação Challenge ou CAPTCHA, ajuste a configuração do Tempo de imunidade conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará da web ACL. Para modificar as configurações de tempo de imunidade da web ACL, edite a web ACL depois de criá-la. Para obter mais informações sobre os tempos de imunidade, consulte Como configurar a expiração de timestamps e tempos de imunidade de token no AWS WAF.
nota
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte Preços do AWS WAF
. Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para ter mais informações, consulte Como adicionar solicitações e respostas personalizadas da Web no AWS WAF.
Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para ter mais informações, consulte Como usar rótulos em solicitações da Web no AWS WAF.
-
Escolha Adicionar regra.
-
-
Selecione a ação padrão para a web ACL, Block ou Allow. Essa é a ação que o AWS WAF realiza em uma solicitação quando as regras na web ACL não a permitem ou bloqueiam explicitamente. Para ter mais informações, consulte Como definir a ação padrão da ACL da Web no AWS WAF.
Se você quiser personalizar a ação padrão, escolha as opções para isso e preencha os detalhes da sua personalização. Para ter mais informações, consulte Como adicionar solicitações e respostas personalizadas da Web no AWS WAF.
-
Você pode definir uma Lista de domínios de tokens para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas ações CAPTCHA e Challenge e pelos SDKs de integração de aplicativos que você implementa ao usar os grupos de regras das regras gerenciadas da AWS para o AWS WAF Fraud Control, prevenção contra fraude na criação de contas (ACFP), prevenção contra apropriação de contas (ATP) do AWS WAF Fraud Control e Controle de Bots do AWS WAF.
Não são permitidos sufixos públicos. Por exemplo, você não pode usar
gov.au
ouco.uk
como um domínio de token.Por padrão, AWS WAF só aceita tokens para o domínio do recurso protegido. Se você adicionar domínios de tokens a essa lista, o AWS WAF aceitará tokens para todos os domínios da lista e para o domínio do recurso associado. Para ter mais informações, consulte Configuração da lista de domínios de tokens da ACL da Web no AWS WAF.
-
Escolha Próximo.
-
Na página Definir prioridade de regra selecione e mova suas regras e grupos de regras para a ordem em que você deseja que o AWS WAF as processe. O AWS WAF processa regras a partir do topo da lista. Quando você salva a web ACL, o AWS WAF atribui configurações de prioridade numérica às regras, na ordem em que você as listou. Para ter mais informações, consulte Como definir a prioridade da regra em uma ACL da Web.
-
Escolha Próximo.
-
Na página Configurar métricas, revise as opções e aplique as atualizações necessárias. Você pode combinar métricas de várias origens fornecendo o mesmo Nome de métrica do CloudWatch a elas.
-
Escolha Próximo.
-
Na página Review and create web ACL (Revisar e criar web ACL) verifique suas definições. Se quiser alterar qualquer área, escolha Edit (Editar) para a área. Isso retorna você à página no assistente de web ACL. Faça quaisquer alterações e, em seguida, escolha Next (Próximo) nas páginas até voltar à página Create web ACL (Revisar e criar web ACL) .
-
Escolha Criar web ACL. Sua nova web ACL está listada na página Web ACLs .