**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Configurando a proteção em AWS WAF
<a name="web-acl"></a>

Esta página explica o que são pacotes de proteção (web ACLs) e como eles funcionam.

 Um pacote de proteção (ACL da Web) é um recurso que oferece controle detalhado sobre todas as solicitações HTTP(S) da Web às quais o recurso protegido responde. Você pode proteger os recursos da Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner,, AWS Amplify, CloudWatch Amazon AWS e Verified Access.

Você pode usar critérios como os seguintes para permitir ou bloquear solicitações: 
+ Origem do endereço IP da solicitação
+ País de origem da solicitação
+ Correspondência de string ou correspondência de expressão regular (regex) em uma parte da solicitação
+ Tamanho de uma parte específica da solicitação
+ Detecção de código SQL malicioso ou script 

Você também pode testar qualquer combinação dessas condições. Você pode bloquear ou contar solicitações da Web que não apenas atendem às condições especificadas, mas também excedem um determinado número de solicitações em qualquer minuto. Você pode combinar condições usando operadores lógicos. Você também pode executar quebra-cabeças CAPTCHA e desafios silenciosos de sessões de clientes contra solicitações. 

Você fornece seus critérios de correspondência e a ação a ser tomada em relação às correspondências nas declarações de AWS WAF regras. Você pode definir instruções de regras diretamente no pacote de proteção (ACL da Web) e em grupos de regras reutilizáveis usadas no pacote de proteção (ACL da Web). Para obter uma lista completa das opções, consulte [Usando declarações de regras em AWS WAF](waf-rule-statements.md) e [Usando ações de regras em AWS WAF](waf-rule-action.md).

Ao criar um pacote de proteção (ACL da Web), especifique os tipos de recursos com os quais pretende utilizá-lo. Para mais informações, consulte [Criando um pacote de proteção (web ACL) no AWS WAF](web-acl-creating.md). Depois de definir um pacote de proteção (ACL da Web), é possível associá-lo aos seus recursos para começar a fornecer proteção para eles. Para obter mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md). 

**nota**  
Em algumas ocasiões, AWS WAF pode encontrar um erro interno que atrasa a resposta aos AWS recursos associados sobre se deve permitir ou bloquear uma solicitação. Nessas ocasiões, CloudFront normalmente permite a solicitação ou veicula o conteúdo, enquanto os serviços regionais normalmente negam a solicitação e não veiculam o conteúdo.

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

**Topics**
+ [

# Criando um pacote de proteção (web ACL) no AWS WAF
](web-acl-creating.md)
+ [

# Editando um pacote de proteção (web ACL) no AWS WAF
](web-acl-editing.md)
+ [

# Gerenciar o comportamento do grupo de regras
](web-acl-rule-group-settings.md)
+ [

# Associar ou desassociar a proteção a um recurso AWS
](web-acl-associating-aws-resource.md)
+ [

# Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF
](web-acl-processing.md)
+ [

# Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF
](web-acl-default-action.md)
+ [

# Considerações para gerenciar a inspeção corporal em AWS WAF
](web-acl-setting-body-inspection-limit.md)
+ [

# Configurando CAPTCHA, desafio e tokens em AWS WAF
](web-acl-captcha-challenge-token-domains.md)
+ [

# Visualizando métricas de tráfego da web em AWS WAF
](web-acl-working-with.md)
+ [

# Excluir um pacote de proteção (ACL da Web)
](web-acl-deleting.md)

# Criando um pacote de proteção (web ACL) no AWS WAF
<a name="web-acl-creating"></a>

------
#### [ Using the new console ]

Esta seção fornece procedimentos para criar pacotes de proteção (web ACLs) por meio do novo AWS console. 

Para criar uma novo pacote de proteção (ACL da Web), use o assistente de criação de pacote de proteção (ACL da Web) seguindo o procedimento nesta página. 

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. Na página **Recursos e pacotes de proteção (web ACLs)**, escolha **Adicionar pacote de proteção (web ACL**).

1. Em **Fale sobre sua aplicação**, em **Categoria de aplicação**, selecione uma ou mais categorias de aplicação.

1. Em **Origem do tráfego**, escolha o tipo de tráfego com o qual a aplicação lida; **API**, **Web** ou **API e Web**.

1. Em **Recursos a proteger**, escolha **Adicionar recursos**.

1. Escolha a categoria de AWS recurso que você deseja associar a esse pacote de proteção (web ACL), CloudFront distribuições da Amazon ou recursos regionais. Para obter mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md). 

1. Em **Escolher proteções iniciais**, selecione seu nível de proteção preferido: **Recomendado**, **Essenciais** ou **Você o cria**. 

1. (Opcional) Se você escolher **Você o cria**, crie suas regras.

   1. (Opcional) Se você quiser adicionar sua própria regra, na página **Adicionar regras**, escolha **Regra personalizada** e, em seguida, escolha **Avançar**.

      1. Selecione o tipo de regra.

      1. Em **Action (Ação)**, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md) e [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

         Se for usar a ação **CAPTCHA** ou **Challenge**, ajuste a configuração **Tempo de imunidade** conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará do pacote de proteção (ACL da Web). Para modificar as configurações de tempo de imunidade do pacote de proteção (ACL da Web), edite o pacote de proteção (ACL da Web) depois de criá-lo. Para saber mais sobre os tempos de imunidade, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

         Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

         Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para saber mais, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

      1. Em **Nome**, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

      1. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra `AND` e `OR` lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte [AWS WAF regras](waf-rules.md). 

      1. Escolha **Criar regra**.
**nota**  
Se você adicionar mais de uma regra a um pacote de proteção (Web ACL), AWS WAF avalia as regras na ordem em que estão listadas para o pacote de proteção (Web ACL). Para obter mais informações, consulte [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

   1. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página **Adicionar regras** escolha **Grupo de regras gerenciadas pela AWS** ou **Grupo de regras do AWS Marketplace** e depois escolha **Avançar**. Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

      1. Na página **Adicionar regras**, expanda a lista para grupos de regras AWS gerenciados ou para o AWS Marketplace vendedor.

      1. Escolha a versão do grupo de regras.

      1. Para personalizar como o pacote de proteção (ACL da Web) usa o grupo de regras, escolha **Editar**. A seguir, são mostradas as configurações de personalização comuns: 
         + Reduza o escopo das solicitações da Web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo na seção **Inspeção**. Para obter mais informações sobre esta opção, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
         + Substitua as ações da regra para algumas ou todas as regras em **Substituições de regra**. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 
         + Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulte[AWS Regras gerenciadas para AWS WAF](aws-managed-rule-groups.md). 

      1. Escolha **Próximo**.

   1. (Opcional) Se você quiser adicionar seu próprio grupo de regras, na página **Adicionar regras**, escolha **Grupo de regras personalizadas** e, em seguida, escolha **Avançar**. Faça o seguinte para cada grupo de regras que você deseja adicionar:

      1. Em **Nome**, insira o nome que você deseja usar para a regra do grupo de regras nesse pacote de proteção (ACL da Web). Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md). 

      1. Escolha seu grupo de regras na lista. 

      1. (Opcional) Em **Configuração de regra**, escolha uma **Substituição de regra**. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

      1. (Opcional) Em **Adicionar rótulos**, escolha **Adicionar rótulo** e, em seguida, insira os rótulos que você deseja adicionar às solicitações que correspondam à regra. As regras que são avaliadas posteriormente no mesmo pacote de proteção (ACL da Web) podem referenciar os rótulos que essa regra adiciona.

      1. Escolha **Criar regra**.

1. Em **Nome e descrição**, insira um nome para o pacote de proteção (ACL da Web). Como opção, insira uma descrição.
**nota**  
Você não pode alterar o nome depois de criar o pacote de proteção (ACL da Web).

1. (Opcional) Em **Personalizar pacote de proteção (ACL da Web)**, configure ações de regras, configurações e destino do registro em log padrão:

   1. (Opcional) Em **Ações de regra padrão**, escolha a ação padrão para o pacote de proteção (ACL da Web). Essa é a ação executada em uma solicitação quando as regras no pacote de proteção (Web ACL) não realizam uma ação explícita. AWS WAF Para obter mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

   1. (Opcional) Em Configuração da regra, personalize as configurações das regras no pacote de proteção (ACL da Web):
      + **Limites de taxa padrão**: defina limites de taxa para bloquear ataques de negação de serviço (DoS) que podem afetar a disponibilidade, comprometer a segurança ou consumir recursos em excesso. Essa regra de taxa bloqueia solicitações por endereço IP que excedem a taxa permitida para a aplicação. Para saber mais, consulte . [Usando declarações de regras baseadas em taxas em AWS WAF](waf-rule-statement-type-rate-based.md)
      + **Endereços IP**: insira os endereços IP a serem bloqueados ou permitidos. Essa configuração substitui outras regras.
      + **Origens em país específico**: bloqueie solicitações de países específicos ou conte todo o tráfego.

   1. Em **Destino do registro em log**, configure o tipo de destino de registro em logo e o local para armazenar os logs. Para saber mais, consulte [AWS WAF destinos de registro](logging-destinations.md).

1. Revise as configurações e escolha **Adicionar pacote de proteção (ACL da Web).**

------
#### [ Using the standard console ]

Esta seção fornece procedimentos para criar a web ACLs por meio do AWS console. 

Para criar uma nova web ACL, use o assistente de criação de web ACL seguindo o procedimento encontrado nesta página. 

**Risco de tráfego de produção**  
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para criar uma ACL da web**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. Escolha **web ACLs** no painel de navegação e, em seguida, escolha **Criar ACL da web**.

1. Em **Nome**, insira o nome que deseja usar para identificar esta web ACL. 
**nota**  
Você não pode alterar o nome depois de criar a web ACL.

1. (Opcional) Em **Descrição: opcional**, insira uma descrição mais longa para a web ACL, se desejar. 

1. Em **Nome da métrica do CloudWatch **, altere o nome padrão, se aplicável. Siga as orientações no console para usar caracteres válidos. O nome não pode conter caracteres especiais, espaços em branco ou nomes de métricas reservados para AWS WAF, incluindo “All” e “Default\$1Action”.
**nota**  
Você não pode alterar o nome da CloudWatch métrica depois de criar a Web ACL.

1. Em **Tipo de recurso**, escolha a categoria de AWS recurso que você deseja associar a essa ACL da web, CloudFront distribuições da Amazon ou recursos regionais. Para obter mais informações, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).

1. Em **Região**, se você escolheu um tipo de recurso regional, escolha a região em que deseja armazenar AWS WAF a ACL da web. 

   Só é necessário escolher essa opção para tipos de recursos regionais. Para CloudFront distribuições, a região é codificada para a região Leste dos EUA (Norte da Virgínia),`us-east-1`, para aplicativos globais (). CloudFront

1. (CloudFront, API Gateway, Amazon Cognito, App Runner e Verified Access) Para o **limite de tamanho de inspeção por solicitação da Web - opcional**, se você quiser especificar um limite de tamanho de inspeção corporal diferente, selecione o limite. Como inspecionar tamanhos de corpo acima do padrão de 16 KB pode gerar custos adicionais. Para obter mais informações sobre esta opção, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md). 

1. (Opcional) Para ** AWS Recursos associados - opcional**, se você quiser especificar seus recursos agora, escolha **Adicionar AWS recursos**. Na caixa de diálogo, escolha os recursos que você deseja associar e escolha **Adicionar**. AWS WAF retorna à página **Descrever a ACL da web e AWS os recursos associados**.
**nota**  
Quando você escolhe associar um Application Load Balancer à sua ACL da web, a proteção S em nível de **recurso é ativada DDo**. Para obter mais informações, consulte [AWS WAF Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md).

1. Escolha **Próximo**.

1. (Opcional) Se quiser adicionar grupos de regras gerenciadas, na página **Add rules and rule groups (Adicionar regras e grupos de regras)** escolha **Add rules (Adicionar regras)**, e, em seguida, escolha **Add managed rule groups (Adicionar grupos de regras gerenciados)**. Faça o seguinte para cada grupo de regras gerenciadas que você deseja adicionar:

   1. Na página **Adicionar grupos de regras gerenciadas**, expanda a lista para grupos de regras AWS gerenciadas ou para o AWS Marketplace vendedor de sua escolha.

   1. Para o grupo de regras que você deseja adicionar, ative a alternância **Adicionar à web ACL** na coluna **Ação** . 

      Para personalizar como sua web ACL usa o grupo de regras, escolha **Editar**. A seguir, são mostradas as configurações de personalização comuns: 
      + Substitua as ações da regra para algumas ou todas as regras. Se você não definir uma ação de substituição para uma regra, a avaliação usará a ação de regra definida dentro do grupo de regras. Para obter mais informações sobre esta opção, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 
      + Reduza o escopo das solicitações da web que o grupo de regras inspeciona adicionando uma instrução de redução de escopo. Para obter mais informações sobre esta opção, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
      + Alguns grupos de regras gerenciadas exigem que você forneça configurações adicionais. Consulte a documentação do seu provedor de grupos de regras gerenciadas. Para obter informações específicas sobre os grupos de regras de regras AWS gerenciadas, consulte[AWS Regras gerenciadas para AWS WAF](aws-managed-rule-groups.md). 

      Ao concluir as configurações, escolha **Salvar regra**.

   Escolha **Add rules (Adicionar regras)** para concluir a adição de regras gerenciadas e retornar à página **Add rules and rule groups (Adicionar regras e grupos de regras)**.
**nota**  
Se você adicionar mais de uma regra a uma ACL da web, AWS WAF avalia as regras na ordem em que estão listadas para a ACL da web. Para obter mais informações, consulte [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

1. (Opcional) Se quiser adicionar seu próprio grupo de regras, na página **Add rules and rule groups (Adicionar regras e grupos de regras)** escolha **Add rules (Adicionar regras)**, e, em seguida, escolha **Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras)**. Faça o seguinte para cada grupo de regras que você deseja adicionar:

   1. Na página **Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras)** escolha **Rule group (Grupo de regras)**.

   1. Em **Nome**, insira o nome que você deseja usar para a regra do grupo de regras nessa web ACL. Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços. Consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md). 

   1. Escolha seu grupo de regras na lista. 
**nota**  
Se você quiser substituir as ações de regra de um grupo de regras próprio, primeiro salve-as na ACL da Web e, em seguida, edite a ACL da Web e a instrução de referência do grupo de regras na lista de regras da ACL da Web. Você pode substituir as ações da regra por qualquer configuração de ação válida, da mesma forma que pode fazer com grupos de regras gerenciadas.

   1. Escolha **Adicionar regra**.

1. (Opcional) Se você quiser adicionar sua própria regra, na página **Add rules and rule groups (Adicionar regras e grupos de regras)**, escolha **Add rules (Adicionar regras)**, **Add my own rules and rule groups (Adicionar minhas próprias regras e grupos de regras)**, **Rule builder (Construtor de regras)**, e **Editor visual de regras**. 
**nota**  
O console **Editor visual de regras** oferece suporte a um nível de aninhamento. Por exemplo, você pode usar uma única instrução `AND` ou `OR` lógica e aninhar um nível de outras instruções dentro dela, mas você não pode aninhar instruções lógicas dentro de instruções lógicas. Para gerenciar instruções de regra mais complexas, use o **Editor JSON de regras**. Para obter informações sobre todas as opções de regras, consulte [AWS WAF regras](waf-rules.md).   
Este procedimento abrange o **Editor visual de regras**. 

   1. Em **Nome**, insira o nome que deseja usar para identificar esta regra. Não use nomes que comecem com `AWS`, `Shield`, `PreFM` ou `PostFM`. Essas sequências de caracteres são reservadas ou podem causar confusão com grupos de regras gerenciadas para você por outros serviços.

   1. Digite sua definição de regra, de acordo com suas necessidades. Você pode combinar regras dentro de instruções de regra `AND` e `OR` lógicas. O assistente orienta você pelas opções de cada regra, de acordo com o contexto. Para obter informações sobre as opções de regras, consulte [AWS WAF regras](waf-rules.md). 

   1. Em **Action (Ação)**, selecione a ação que você deseja que a regra execute quando ela corresponder a uma solicitação da web. Para obter informações sobre suas escolhas, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md) e [Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

      Se for usar a ação **CAPTCHA** ou **Challenge**, ajuste a configuração **Tempo de imunidade** conforme necessário para a regra. Se você não especificar a configuração, a regra a herdará da web ACL. Para modificar as configurações de tempo de imunidade da web ACL, edite a web ACL depois de criá-la. Para saber mais sobre os tempos de imunidade, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

      Se você quiser personalizar a solicitação ou a resposta, escolha as opções para isso e preencha os detalhes da sua personalização. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

      Se você quiser que sua regra adicione rótulos às solicitações da web correspondentes, escolha as opções para isso e preencha os detalhes do rótulo. Para saber mais, consulte [Rotulagem de solicitações da Web em AWS WAF](waf-labels.md).

   1. Escolha **Adicionar regra**.

1. Selecione a ação padrão para a web ACL, Block ou Allow. Essa é a ação que AWS WAF ocorre em uma solicitação quando as regras na ACL da web não a permitem ou bloqueiam explicitamente. Para obter mais informações, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

   Se você quiser personalizar a ação padrão, escolha as opções para isso e preencha os detalhes da sua personalização. Para saber mais, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

1. Você pode definir uma **Lista de domínios de tokens** para permitir o compartilhamento de tokens entre aplicativos protegidos. Os tokens são usados pelas Challenge ações CAPTCHA e pela integração de aplicativos SDKs que você implementa ao usar os grupos de regras de regras AWS gerenciadas para controle de AWS WAF fraudes, criação de contas, prevenção de fraudes (ACFP), controle de AWS WAF fraudes, prevenção de aquisição de contas (ATP) e controle de bots. AWS WAF 

   Não são permitidos sufixos públicos. Por exemplo, você não pode usar `gov.au` ou `co.uk` como um domínio de token.

   Por padrão, AWS WAF aceita tokens somente para o domínio do recurso protegido. Se você adicionar domínios de token nessa lista, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

1. Escolha **Próximo**.

1. Na página **Definir prioridade da regra**, selecione e mova suas regras e grupos de regras para a ordem em que você AWS WAF deseja processá-los. AWS WAF processa regras começando do topo da lista. Quando você salva a web ACL, o AWS WAF atribui configurações de prioridade numérica às regras, na ordem em que você as listou. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

1. Escolha **Próximo**.

1. Na página **Configurar métricas**, revise as opções e aplique as atualizações necessárias. Você pode combinar métricas de várias fontes fornecendo o mesmo **nome de CloudWatch métrica** para elas. 

1. Escolha **Próximo**.

1. Na página **Review and create web ACL (Revisar e criar web ACL)** verifique suas definições. Se quiser alterar qualquer área, escolha **Edit (Editar)** para a área. Isso retorna você à página no assistente de web ACL. Faça quaisquer alterações e, em seguida, escolha **Next (Próximo)** nas páginas até voltar à página **Create web ACL (Revisar e criar web ACL)** .

1. Escolha **Criar web ACL**. Sua nova ACL da web está listada na ACLs página da **web**.

------

# Editando um pacote de proteção (web ACL) no AWS WAF
<a name="web-acl-editing"></a>

------
#### [ Using the new console ]

Esta seção fornece procedimentos para edição de pacotes de proteção (web ACLs) por meio do AWS console. 

Para adicionar ou remover regras de um pacote de proteção (ACL da Web) ou alterar as definições de configuração, acesse o pacote de proteção (ACL da Web) usando o procedimento desta página. Ao atualizar um pacote de proteção (Web ACL), AWS WAF fornece cobertura contínua aos recursos que você associou ao pacote de proteção (Web ACL). 

**Risco de tráfego de produção**  
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para editar um pacote de proteção (ACL da Web)**

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. Edite o pacote de proteção (ACL da Web) conforme necessário. 

   A seguir estão listados os componentes editáveis da configuração do pacote de proteção (ACL da Web). 

   Esta seção fornece procedimentos para edição da web ACLs por meio do AWS console. 

   Para adicionar ou remover regras de uma web ACL ou alterar as definições de configuração, acesse a web ACL usando o procedimento desta página. Ao atualizar uma ACL da web, AWS WAF fornece cobertura contínua aos recursos que você associou à ACL da web. 

**Risco de tráfego de produção**  
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

------
#### [ Using the standard console ]

Esta seção fornece procedimentos para edição da web ACLs por meio do AWS console. 

Para adicionar ou remover regras de uma web ACL ou alterar as definições de configuração, acesse a web ACL usando o procedimento desta página. Ao atualizar uma ACL da web, AWS WAF fornece cobertura contínua aos recursos que você associou à ACL da web. 

**Risco de tráfego de produção**  
Antes de implantar alterações em sua web ACL para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

**nota**  
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Para editar uma web ACL**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Escolha o nome da web ACL a ser editada. O console leva você para a descrição da web ACL. 

1. Edite a web ACL, conforme necessário. Escolha as guias das áreas de configuração de seu interesse e edite as configurações mutáveis. Para cada configuração que você edita, ao escolher **Salvar** e retornar à página de descrição da web ACL, o console salva suas alterações na web ACL. 

   A seguir estão listadas as guias que contêm componentes de configuração de web ACL. 
   + Guia **Regras**
     + **Regras definidas na ACL da Web**: você pode editar e gerenciar as regras que você definiu na ACL da Web da mesma forma que fez durante a criação da ACL da Web. 
**nota**  
Não altere os nomes de nenhuma regra que você não tenha adicionado manualmente à sua web ACL. Se você estiver usando outros serviços para gerenciar regras para você, alterar seus nomes pode remover ou diminuir a capacidade deles de fornecer as proteções pretendidas. AWS Shield Advanced e AWS Firewall Manager ambos podem criar regras em sua ACL da web. Para mais informações, consulte [Como reconhecer grupos de regras fornecidos por outros serviços](waf-service-owned-rule-groups.md).
**nota**  
Se você alterar o nome de uma regra e quiser que o nome da métrica da regra reflita a alteração, você também deverá atualizar o nome da métrica. AWS WAF não atualiza automaticamente o nome da métrica de uma regra quando você altera o nome da regra. Você pode alterar o nome da métrica ao editar a regra no console, usando o editor JSON de regras. Você também pode alterar os dois nomes por meio de APIs e em qualquer listagem JSON usada para definir seu pacote de proteção (Web ACL) ou grupo de regras.

       Para obter informações sobre regras e configurações de grupos de regras, consulte [AWS WAF regras](waf-rules.md) e [AWS WAF grupos de regras](waf-rule-groups.md).
     + **Unidades de capacidade de regras da ACL da Web usadas**: o uso atual da capacidade do pacote de proteção (ACL da Web). Isso é somente para visualização. 
     + **Ação padrão da web ACL para solicitações que não correspondem a nenhuma regra**: para obter informações sobre essa configuração, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md). 
     + **Configurações de CAPTCHA e desafio do pacote de proteção (ACL da Web)**: esses tempos de imunidade determinam por quanto tempo um CAPTCHA ou token de desafio permanece válido após ser adquirido. Você só pode modificar essa configuração aqui, depois de criar a web ACL. Para saber mais sobre essas configurações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
     + **Lista de domínios de** tokens — AWS WAF aceita tokens para todos os domínios da lista e para o domínio do recurso associado. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).
   + Aba de ** AWS recursos associados**
     + **Limite de tamanho de inspeção de solicitações** da Web — Incluído somente para sites ACLs que protegem CloudFront distribuições. O limite de tamanho da inspeção do corpo determina quanto do componente do corpo é encaminhado AWS WAF para inspeção. Para saber mais sobre essa configuração, consulte [Considerações para gerenciar a inspeção corporal em AWS WAF](web-acl-setting-body-inspection-limit.md).
     + **recursos associados da AWS **: a lista de recursos aos quais a web ACL está atualmente associada e protegendo. Você pode localizar recursos que estão na mesma região da web ACL e associá-los à web ACL. Para saber mais, consulte [Associar ou desassociar a proteção a um recurso AWS](web-acl-associating-aws-resource.md).
   + Guia **Corpos de resposta personalizados**
     + Corpos de resposta personalizados que estão disponíveis para uso por suas regras de web ACL que têm a ação definida como Block. Para saber mais, consulte [Como enviar respostas personalizadas para ações Block](customizing-the-response-for-blocked-requests.md).
   + Guia **Logs e métricas**
     + **Logs**: logs do tráfego que a web ACL avalia. Para mais informações, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).
     + **Integração com o Security Lake**: o status das coletas de dados que você configurou para o pacote de proteção (ACL da Web) no Amazon Security Lake. Para obter informações, consulte [Coleta de dados de AWS serviços](https://docs.aws.amazon.com/security-lake/latest/userguide/internal-sources.html) no *guia do usuário do Amazon Security Lake*. 
     + **Solicitações amostradas**: informações sobre as regras que correspondem às solicitações da web. Para obter informações sobre como visualizar solicitações de exemplo, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md).
     + **Configurações de proteção de dados** — Você pode configurar a redação e a filtragem de dados de tráfego da Web para todos os dados disponíveis para a ACL da Web e apenas para os dados que eles AWS WAF enviam para o destino de registro da ACL da Web configurado. Para obter mais informações sobre a proteção de dados, consulte [Proteção de dados e registro do tráfego do pacote de AWS WAF proteção (Web ACL)](waf-data-protection-and-logging.md). 
     + **CloudWatch métricas** — Métricas para as regras em sua ACL da web. Para obter informações sobre CloudWatch as métricas da Amazon, consulte[Monitoramento com a Amazon CloudWatch](monitoring-cloudwatch.md). 

**Inconsistências temporárias durante as atualizações**  
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos. 

Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração: 
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível. 
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros. 
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.

------

# Gerenciar o comportamento do grupo de regras
<a name="web-acl-rule-group-settings"></a>

Esta seção descreve suas opções para modificar o modo como você usa um grupo de regras no pacote de proteção (ACL da Web). Essas informações se aplicam a todos os tipos de grupos de regras. Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), você pode substituir as ações das regras individuais no grupo de regras por Count ou para qualquer outra configuração de ação de regra válida. Você também pode substituir a ação resultante do grupo de regras para Count, o que não tem efeito sobre como as regras são avaliadas dentro do grupo de regras. 

Para saber mais sobre essas opções, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md).

## Substituir ações de regra para um grupo de regras
<a name="web-acl-rule-group-rule-action-override"></a>

Para cada grupo de regras em um pacote de proteção (ACL da Web), você pode substituir as ações da regra contida, definindo a ação para todas ou algumas das regras. 

O caso de uso mais comum para isso é substituir as ações da regra para Count para testar regras novas ou atualizadas. Se você tiver métricas habilitadas, receberá métricas para cada regra que você substituir. Para ter mais informações sobre armazenamento, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

Você pode fazer essas alterações ao adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web) e pode fazê-las em qualquer tipo de grupo de regras ao editar o pacote de proteção (ACL da Web). Essas instruções são para um grupo de regras que já foi adicionado ao pacote de proteção (ACL da Web). Veja as informações adicionais sobre essa opção em [Substituições de ações de regras de grupos de regras](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).

------
#### [ Using the new console ]

**Para substituir ações de regra para um grupo de regras**

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Regras** para abrir o painel **Gerenciar regras**.

1. Na seção **Gerenciar regras** do grupo de regras, escolha a regra gerenciada para abrir as configurações de ação.
   + **Substituir grupo de regras**: altera a ação do grupo de regras para o modo Contagem, mas mantém todas as ações de regras individuais inalteradas.
   + **Substituir todas as ações de regra**: aplica uma ação de regra a todas as regras, substituindo seu estado atual.
   + **Substituição de regra única**: aplica uma ação de regra a uma regra individual.

1. Quando terminar de fazer as alterações, escolha **Salvar regra**. 

------
#### [ Using the standard console ]

**Para substituir ações de regra para um grupo de regras**

1. Edite a web ACL. 

1. Na guia **Regras** na página da web ACL, selecione o grupo de regras e escolha **Editar**. 

1. Na seção **Regras** do grupo de regras, gerencie as configurações de ação conforme necessário. 
   + **Todas as regras**: para definir uma ação de substituição para todas as regras no grupo de regras, abra o menu suspenso **Substituir todas as ações de regra** e selecione a ação de substituição. Para remover as substituições de todas as regras, selecione **Remover todas as substituições**. 
   + **Regra única**: para definir uma ação de substituição para uma única regra, abra a lista suspensa da regra e selecione a ação de substituição. Para remover a substituição de uma regra, abra a lista suspensa da regra e selecione **Remover substituição**.

1. Quando terminar de fazer as alterações, escolha **Salvar regra**. As configurações de ação de regra e ação de substituição estão listadas na página do grupo de regras. 

------

O exemplo de listagem JSON a seguir mostra uma instrução de grupo de regras em um pacote de proteção (ACL da Web) que substitui as ações de regra por Count para as regras `CategoryVerifiedSearchEngine` e `CategoryVerifiedSocialMedia`. No JSON, você substitui todas as ações da regra fornecendo uma entrada `RuleActionOverrides` para cada regra individual.

```
{
    "Name": "AWS-AWSBotControl-Example",
   "Priority": 5, 
   "Statement": {
    "ManagedRuleGroupStatement": {
        "VendorName": "AWS",
        "Name": "AWSManagedRulesBotControlRuleSet",
        "RuleActionOverrides": [
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSearchEngine"
          },
          {
            "ActionToUse": {
              "Count": {}
            },
            "Name": "CategoryVerifiedSocialMedia"
          }
        ],
        "ExcludedRules": []
    },
   "VisibilityConfig": {
       "SampledRequestsEnabled": true,
       "CloudWatchMetricsEnabled": true,
       "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

## Substituição do resultado da avaliação de um grupo de regras para Count
<a name="web-acl-rule-group-action-override"></a>

Você pode substituir a ação resultante da avaliação de um grupo de regras sem alterar a forma como as regras do grupo de regras são configuradas ou avaliadas. Essa opção não é comumente usado. Se alguma regra no grupo de regras resultar em uma correspondência, essa substituição definirá a ação resultante do grupo de regras como Count.

**nota**  
Esse é um caso de uso incomum. A maioria das substituições de ações é feita no nível da regra, dentro do grupo de regras, conforme descrito em [Substituir ações de regra para um grupo de regras](#web-acl-rule-group-rule-action-override).

Você pode substituir a ação resultante do grupo de regras no pacote de proteção (ACL da Web) ao adicionar ou editar o grupo de regras. No console, abra o painel **Substituir ação do grupo de regras: opcional** do grupo de regras e habilite a substituição. No JSON, defina `OverrideAction` na instrução de grupo de regras, conforme mostrado no seguinte exemplo de lista: 

```
{
   "Name": "AWS-AWSBotControl-Example",
   "Priority": 5,  
   "Statement": {
    "ManagedRuleGroupStatement": {
     "VendorName": "AWS",
     "Name": "AWSManagedRulesBotControlRuleSet"
     }
   },
    "OverrideAction": {
       "Count": {}
    },
   "VisibilityConfig": {
        "SampledRequestsEnabled": true,
        "CloudWatchMetricsEnabled": true,
        "MetricName": "AWS-AWSBotControl-Example"
   }
}
```

# Associar ou desassociar a proteção a um recurso AWS
<a name="web-acl-associating-aws-resource"></a>

Você pode usar AWS WAF para criar as seguintes associações entre pacotes de proteção (web ACLs) e seus recursos: 
+ Associe um pacote de proteção (ACL da Web) regional a qualquer um dos recursos regionais listados abaixo. Para essa opção, o pacote de proteção (ACL da Web) deve estar na mesma região que seu recurso. 
  + API REST do Amazon API Gateway
  + Application Load Balancer
  + AWS AppSync API do GraphQL
  + Grupo de usuários do Amazon Cognito
  + AWS App Runner serviço
  + AWS Instância de acesso verificado
  + AWS Amplify
+ Associe um pacote de proteção global (web ACL) a uma CloudFront distribuição da Amazon. O pacote de proteção (ACL da Web) global terá a região Leste dos EUA (Norte da Virgínia) como região de codificação rígida.

Você também pode associar um pacote de proteção (web ACL) a uma CloudFront distribuição ao criar ou atualizar a própria distribuição. Para obter informações, consulte Como [usar AWS WAF para controlar o acesso ao seu conteúdo](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) no *Amazon CloudFront Developer Guide*.

**Restrições às associações múltiplas**  
Você pode associar um único pacote de proteção (web ACL) a um ou mais AWS recursos, de acordo com as seguintes restrições:
+ Você pode associar cada AWS recurso a apenas um pacote de proteção (Web ACL). A relação entre o pacote de proteção (Web ACL) e AWS os recursos é one-to-many. 
+ Você pode associar um pacote de proteção (web ACL) a uma ou mais CloudFront distribuições. Você não pode associar um pacote de proteção (web ACL) associado a uma CloudFront distribuição a nenhum outro tipo de AWS recurso.

**Restrições adicionais**  
As seguintes restrições adicionais se aplicam a associações de pacote de proteção (ACL da Web): 
+ Você só pode associar um pacote de proteção (ACL da Web) a um Application Load Balancer nas Regiões da AWS. Por exemplo, você não pode associar um pacote de proteção (ACL da Web) a um Application Load Balancer que esteja no AWS Outposts.
+ Você não pode associar um grupo de usuários do Amazon Cognito a um pacote de proteção (web ACL) que usa o grupo de regras gerenciadas de prevenção de AWS WAF fraudes na criação de contas do Fraud Control (ACFP) `AWSManagedRulesACFPRuleSet` ou o grupo de regras gerenciadas de prevenção de aquisição de contas do AWS WAF Fraud Control (ATP). `AWSManagedRulesATPRuleSet` Para obter informações sobre prevenção de fraudes na criação de contas, consulte [AWS WAF Controle de fraudes na criação de contas e prevenção de fraudes (ACFP)](waf-acfp.md). Para obter informações sobre prevenção de apropriação de contas, consulte [AWS WAF Controle de fraudes e prevenção de aquisição de contas (ATP)](waf-atp.md). 

**Risco de tráfego de produção**  
Antes de implantar o pacote de proteção (ACL da Web) para tráfego de produção, teste-o e ajuste-o em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

# Associando proteção a um recurso AWS
<a name="web-acl-associating"></a>

------
#### [ Using the new console ]

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Recursos** para abrir o painel **Gerenciar recursos**.

1. Na seção **Gerenciar recursos** do grupo de regras, escolha **Adicionar recursos regionais** ou **Adicionar recursos globais**.

1. Escolha os recursos e selecione **Adicionar**.

------
#### [ Using the standard console ]

Para associar uma Web ACL a um AWS recurso, execute o procedimento a seguir.

**Para associar uma ACL da web a um recurso AWS**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Escolha o nome da web ACL que deseja associar a um recurso. O console leva você para a descrição da web ACL, onde é possível editá-la.

1. Na guia ** AWS Recursos associados**, escolha **Adicionar AWS recursos**.

1. Quando solicitado, selecione o tipo de recurso, selecione o botão de opção ao lado do recurso que você deseja associar e depois selecione **Adicionar**. 

------

# Desassociando uma proteção de um recurso AWS
<a name="web-acl-dissociating-aws-resource"></a>

------
#### [ Using the new console ]

1. Escolha o pacote de proteção (ACL da Web) que você deseja editar. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Recursos** para abrir o painel **Gerenciar recursos**.

1. Na seção **Gerenciar recursos** do grupo de regras, escolha o recurso que você deseja desassociar e, em seguida, escolha **Desassociar**.
**nota**  
Você deve desassociar um recurso por vez. Não escolha vários recursos. 

1. Na página de confirmação, digite “desassociar” e escolha **Desassociar**.

------
#### [ Using the standard console ]

Para dissociar uma Web ACL de um AWS recurso, execute o procedimento a seguir.

**Para desassociar uma Web ACL de um recurso AWS**

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Escolha o nome da web ACL que deseja dissociar de seu recurso. O console leva você para a descrição da web ACL, onde é possível editá-la.

1. Na guia ** AWS Recursos associados**, selecione o recurso do qual você deseja desassociar essa Web ACL. 
**nota**  
Você deve desassociar um recurso por vez. Não escolha vários recursos. 
**nota**  
Quando você escolhe associar um Application Load Balancer à sua WebACL, a proteção S em nível de **recurso DDo** é ativada. Para obter mais informações, consulte [AWS WAF Prevenção distribuída de negação de serviço (DDoS)](waf-anti-ddos.md).

1. Escolha **Desassociar**. O console abre um diálogo de confirmação. Confirme sua opção de desassociar a Web ACL do AWS recurso. 

------

# Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF
<a name="web-acl-processing"></a>

Esta seção apresenta como os pacotes de proteção (web ACLs) e a web ACLs funcionam com regras e grupos de regras.

A maneira como um pacote de proteção (ACL da Web) trata uma solicitação da Web depende do seguinte: 
+ As configurações de prioridade numérica das regras no pacote de proteção (ACL da Web) e dentro dos grupos de regras
+ As configurações de ação nas regras e no pacote de proteção (ACL da Web)
+ Todas as substituições que você colocar nas regras e grupos de regras que você adicionar

Para obter uma lista das configurações de ação de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md). 

Agora você pode personalizar o tratamento das solicitações e respostas nas configurações de ação da regra e nas configurações de ação padrão do pacote de proteção (ACL da Web). Para mais informações, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

**Topics**
+ [

# Definir prioridade das regras
](web-acl-processing-order.md)
+ [

# Como AWS WAF lida com as ações de regras e grupos de regras
](web-acl-rule-actions.md)
+ [

# Substituindo ações do grupo de regras em AWS WAF
](web-acl-rule-group-override-options.md)

# Definir prioridade das regras
<a name="web-acl-processing-order"></a>

Esta seção explica como AWS WAF usa as configurações de prioridade numérica para definir a ordem de avaliação das regras.

Em um pacote de proteção (ACL da Web) e em qualquer grupo de regras, você determina a ordem de avaliação das regras usando configurações de prioridade numérica. Você deve atribuir a cada regra em um pacote de proteção (ACL da Web) uma configuração de prioridade exclusiva dentro desse pacote de proteção (ACL da Web) e deve dar a cada regra em um grupo de regras uma configuração de prioridade exclusiva dentro desse grupo de regras. 

**nota**  
Quando você gerencia grupos de regras, os pacotes de proteção (web ACLs) por meio do console AWS WAF atribuem configurações de prioridade numérica exclusivas para você com base na ordem das regras na lista. AWS WAF atribui a prioridade numérica mais baixa à regra na parte superior da lista e a prioridade numérica mais alta à regra na parte inferior. 

Ao AWS WAF avaliar qualquer grupo de regras, pacote de proteção (web ACL) em relação a uma solicitação da web, ele avalia as regras desde a configuração de prioridade numérica mais baixa até encontrar uma correspondência que encerre a avaliação ou esgote todas as regras.

Por exemplo, digamos que você tenha as seguintes regras e grupos de regras em seu pacote de proteção (ACL da Web), priorizados conforme mostrado:
+ Regra1: prioridade 0
+ RuleGroupA — prioridade 100
  + RegraA1: prioridade 10.000
  + RegraA2: prioridade 20.000
+ Regra2: prioridade 200
+ RuleGroupB — prioridade 300
  + RegraB1: prioridade 0
  + RegraB2: prioridade 1

AWS WAF avaliaria as regras desse pacote de proteção (web ACL) na seguinte ordem:
+ Rule1
+ RuleGroupUma regra A1
+ RuleGroupUma regra A2
+ Rule2
+ RuleGroupPor RuleB1
+ RuleGroupPor RuleB2

# Como AWS WAF lida com as ações de regras e grupos de regras
<a name="web-acl-rule-actions"></a>

Esta seção explica como AWS WAF usa regras e grupos de regras para lidar com ações.

Ao configurar suas regras e grupos de regras, você escolhe como deseja AWS WAF lidar com as solicitações da web correspondentes: 
+ **Allow e Block são ações de encerramento**: as ações Allow e Block interrompem todos os outros processamentos do pacote de proteção (ACL da Web) na solicitação da Web correspondente. Se uma regra em um pacote de proteção (web ACL) encontrar uma correspondência para uma solicitação e a ação da regra for Allow ouBlock, essa correspondência determinará a disposição final da solicitação da web para o pacote de proteção (web ACL). AWS WAF não processa nenhuma outra regra no pacote de proteção (web ACL) que vem depois da correspondente. Isso é verdadeiro para as regras que você adiciona diretamente ao pacote de proteção (ACL da Web) e para as regras dentro de um grupo de regras adicionado. Com a ação Block, o recurso protegido não recebe nem processa a solicitação da web.
+ **Count não é uma ação de encerramento**: quando uma regra com uma ação Count corresponde a uma solicitação, o AWS WAF conta a solicitação e, em seguida, continua processando as regras que vêm a seguir no conjunto de regras do pacote de proteção (ACL da Web). 
+ **CAPTCHAe Challenge podem ser ações de encerramento ou encerramento** — quando uma regra com uma dessas ações corresponde a uma solicitação, AWS WAF verifica o status do token. Se a solicitação tiver um token válido, AWS WAF tratará a correspondência de forma semelhante a uma Count correspondência e, em seguida, continuará processando as regras que seguem o conjunto de regras do pacote de proteção (Web ACL). Se a solicitação não tiver um token válido, AWS WAF encerra a avaliação e envia ao cliente um quebra-cabeça CAPTCHA ou um desafio silencioso de uma sessão de cliente em segundo plano para resolver. 

Se a avaliação da regra não resultar em nenhuma ação de encerramento, AWS WAF aplique a ação padrão do pacote de proteção (Web ACL) à solicitação. Para mais informações, consulte [Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF](web-acl-default-action.md).

No pacote de proteção (ACL da Web), você pode substituir as configurações de ação das regras de um grupo de regras e substituir a ação retornada por um grupo de regras. Para mais informações, consulte [Substituindo ações do grupo de regras em AWS WAF](web-acl-rule-group-override-options.md). 

**Interação entre ações e configurações de prioridade**  
As ações que AWS WAF se aplicam a uma solicitação da web são afetadas pelas configurações de prioridade numérica das regras no pacote de proteção (Web ACL). Por exemplo, digamos que o pacote de proteção (ACL da Web) tenha uma regra com ação Allow e uma prioridade numérica de 50 e outra regra com a ação Count e uma prioridade numérica de 100. O AWS WAF avalia as regras em um pacote de proteção (ACL da Web) na ordem de prioridade, começando pela configuração mais baixa, então ele avaliará a regra de permissão antes da regra de contagem. Uma solicitação da web que corresponda às duas regras corresponderá primeiro à regra de permissão. Como Allow é uma ação de encerramento, AWS WAF interromperá a avaliação nesta partida e não avaliará a solicitação de acordo com a regra de contagem. 
+ Se você quiser incluir apenas solicitações que não correspondam à regra de permissão nas métricas da regra de contagem, as configurações de prioridade das regras funcionarão. 
+ Por outro lado, se você quiser contar métricas da regra de contagem, mesmo para solicitações que correspondam à regra de permissão, precisará atribuir à regra de contagem uma configuração de prioridade numérica menor do que a regra de permissão, para que ela seja executada primeiro. 

Para saber mais sobre configurações de prioridade, consulte [Definir prioridade das regras](web-acl-processing-order.md). 

# Substituindo ações do grupo de regras em AWS WAF
<a name="web-acl-rule-group-override-options"></a>

Esta seção explica como substituir ações de grupos de regras.

Ao adicionar um grupo de regras ao pacote de proteção (ACL da Web), você pode substituir as ações que ele executa nas solicitações da Web que correspondem. Substituir as ações de um grupo de regras dentro da configuração do pacote de proteção (ACL da Web) não altera o grupo de regras em si. Ele só altera a forma como o grupo de regras é AWS WAF usado no contexto do pacote de proteção (Web ACL). 

## Substituições de ações de regras de grupos de regras
<a name="web-acl-rule-group-override-options-rules"></a>

Você pode substituir as ações das regras dentro de um grupo de regras por qualquer ação de regra válida. Quando você faz isso, as solicitações correspondentes são tratadas exatamente como se a ação da regra configurada fosse a configuração de substituição. 

**nota**  
As ações de regra podem ser de encerramento ou não. Uma ação de encerramento interrompe a avaliação do pacote de proteção (ACL da Web) da solicitação e permite que ela continue na aplicação protegida ou a bloqueia. 

Veja as opções da ação da regra: 
+ **Allow**— AWS WAF permite que a solicitação seja encaminhada ao AWS recurso protegido para processamento e resposta. Essa é uma ação de encerramento. Nas regras que define, você pode inserir cabeçalhos personalizados na solicitação antes de encaminhá-la para o recurso protegido.
+ **Block**— AWS WAF bloqueia a solicitação. Essa é uma ação de encerramento. Por padrão, seu AWS recurso protegido responde com um código de `403 (Forbidden)` status HTTP. Nas regras que você define, você pode personalizar a resposta. Quando AWS WAF bloqueia uma solicitação, as configurações da Block ação determinam a resposta que o recurso protegido envia de volta ao cliente. 
+ **Count**— AWS WAF conta a solicitação, mas não determina se ela deve ser permitida ou bloqueada. Essa não é uma ação de encerramento, o AWS WAF continua processando as regras restantes no pacote de proteção (ACL da Web). Nas regras que você define, você pode inserir cabeçalhos personalizados na solicitação e adicionar rótulos com os quais outras regras possam corresponder.
+ **CAPTCHAe Challenge** — AWS WAF usa quebra-cabeças de CAPTCHA e desafios silenciosos para verificar se a solicitação não vem de um bot e AWS WAF usa tokens para rastrear as respostas recentes bem-sucedidas dos clientes. 

  Os códigos CAPTCHA e os desafios silenciosos só podem ser executados quando os navegadores estão acessando endpoints HTTPS. Os clientes do navegador devem estar sendo executados em contextos seguros para adquirir tokens. 
**nota**  
São cobradas taxas adicionais quando você usa a ação de regra CAPTCHA ou Challenge em uma de suas regras ou como uma substituição de ação de regra em um grupo de regras. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/).

  Essas ações de regra podem ser terminais ou não, dependendo do estado do token na solicitação: 
  + **Não encerramento para token válido e não expirado — Se o token** for válido e não expirado de acordo com o CAPTCHA configurado ou o tempo de imunidade de desafio, AWS WAF tratará a solicitação de forma semelhante à ação. Count AWS WAF continua inspecionando a solicitação da web com base nas regras restantes no pacote de proteção (Web ACL). Semelhante à configuração de Count, nas regras que define, você pode, opcionalmente, configurar essas ações com cabeçalhos personalizados para inserir na solicitação e adicionar rótulos aos quais outras regras possam corresponder. 
  + ** AWS WAF Encerramento com solicitação bloqueada de token inválido ou expirado** — Se o token for inválido ou a data e hora indicada expirar, encerra a inspeção da solicitação da web e bloqueia a solicitação, semelhante à ação. Block AWS WAF em seguida, responde ao cliente com um código de resposta personalizado. PoisCAPTCHA, se o conteúdo da solicitação indicar que o navegador do cliente pode lidar com isso, AWS WAF envia um quebra-cabeça CAPTCHA em um JavaScript intersticial, projetado para distinguir clientes humanos de bots. Para a Challenge ação, AWS WAF envia um JavaScript intersticial com um desafio silencioso projetado para distinguir navegadores normais de sessões que estão sendo executadas por bots. 

  Para obter informações adicionais, consulte [CAPTCHAe Challenge em AWS WAF](waf-captcha-and-challenge.md).

Para obter informações sobre como utilizar essa opção, consulte [Substituir ações de regra para um grupo de regras](web-acl-rule-group-settings.md#web-acl-rule-group-rule-action-override).

### Substituição da ação da regra para Count
<a name="web-acl-rule-group-override-to-count"></a>

O caso de uso mais comum para substituições de ações de regras é substituir algumas ou todas as ações de regras para Count, para testar e monitorar o comportamento de um grupo de regras antes de colocá-lo em produção. 

Você também pode usar isso para solucionar problemas de um grupo de regras que está gerando falsos positivos. Falsos positivos ocorrem quando um grupo de regras bloqueia o tráfego que você não espera que ele bloqueie. Se você identificar uma regra em um grupo de regras que bloquearia as solicitações que você deseja permitir, você pode manter a substituição da ação de contagem nessa regra, para evitar que ela atue em suas solicitações.

Para saber mais sobre como usar a substituição de ação de regra em testes, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).

### Lista JSON: `RuleActionOverrides` substitui `ExcludedRules`
<a name="web-acl-rule-group-override-replaces-exclude"></a>

Se você definiu as ações de regras do grupo de regras Count na configuração do pacote de proteção (Web ACL) antes de 27 de outubro de 2022, AWS WAF salvou suas substituições no JSON do pacote de proteção (Web ACL) como. `ExcludedRules` Agora, a configuração JSON para substituir uma regra para Count está nas configurações `RuleActionOverrides`. 

Recomendamos que você atualize todas as configurações `ExcludedRules` em suas listas de JSON para configurações `RuleActionOverrides` com a ação definida como Count. A API aceita qualquer uma das configurações, mas você obterá consistência em suas listas de JSON, entre o trabalho do console e o trabalho da API, se usar apenas a nova configuração `RuleActionOverrides`. 

**nota**  
No AWS WAF console, a guia **Solicitações de amostra** do pacote de proteção (Web ACL) não mostra exemplos de regras com a configuração antiga. Para obter mais informações, consulte [Visualizar um exemplo de solicitações da web](web-acl-testing-view-sample.md). 

Quando você usa o AWS WAF console para editar as configurações existentes do grupo de regras, o console converte automaticamente qualquer `ExcludedRules` configuração no JSON em `RuleActionOverrides` configurações, com a ação de substituição definida como. Count 
+ Exemplo de configuração atual: 

  ```
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "RuleActionOverrides": [
              {
                "Name": "AdminProtection_URIPATH",
                "ActionToUse": {
                  "Count": {}
                }
              }
            ]
  ```
+ Exemplo de configuração antiga: 

  ```
  OLD SETTING
         "ManagedRuleGroupStatement": {
            "VendorName": "AWS",
            "Name": "AWSManagedRulesAdminProtectionRuleSet",
            "ExcludedRules": [
              {
                "Name": "AdminProtection_URIPATH"
              }
            ]
  OLD SETTING
  ```

## A ação de retorno do grupo de regras é substituída por Count
<a name="web-acl-rule-group-override-options-rule-group"></a>

Você pode substituir a ação que o grupo de regras retorna, definindo-a como Count. 

**nota**  
Essa não é uma boa opção para testar as regras em um grupo de regras, pois não altera a forma como AWS WAF avalia o próprio grupo de regras. Ela afeta apenas a forma como AWS WAF manipula os resultados que são retornados ao pacote de proteção (Web ACL) a partir da avaliação do grupo de regras. Se você quiser testar as regras em um grupo de regras, use a opção descrita na seção anterior, [Substituições de ações de regras de grupos de regras](#web-acl-rule-group-override-options-rules).

Quando você substitui a ação do grupo de regras paraCount, AWS WAF processa a avaliação do grupo de regras normalmente. 

Se nenhuma regra no grupo de regras corresponder ou se todas as regras que corresponderem tiverem uma ação Count, essa substituição não terá efeito no processamento do grupo de regras ou do pacote de proteção (ACL da Web).

A primeira regra no grupo de regras que corresponde a uma solicitação da web e que tem uma ação de regra de encerramento faz AWS WAF com que pare de avaliar o grupo de regras e retorne o resultado da ação de encerramento ao nível de avaliação do pacote de proteção (Web ACL). Nesse ponto, na avaliação do pacote de proteção (Web ACL), essa substituição entra em vigor. AWS WAF substitui a ação de encerramento para que o resultado da avaliação do grupo de regras seja somente uma ação. Count AWS WAF em seguida, continua processando o restante das regras no pacote de proteção (Web ACL).

Para obter informações sobre como utilizar essa opção, consulte [Substituição do resultado da avaliação de um grupo de regras para Count](web-acl-rule-group-settings.md#web-acl-rule-group-action-override).

# Definindo a ação padrão do pacote de proteção (Web ACL) em AWS WAF
<a name="web-acl-default-action"></a>

Esta seção explica como as ações padrão do pacote de proteção (ACL da Web) funcionam.

Ao criar e configurar um pacote de proteção (ACL da Web), você deve definir a ação padrão do pacote de proteção (ACL da Web). O AWS WAF aplica essa ação a qualquer solicitação da Web que passe por todas as avaliações de regras do pacote de proteção (ACL da Web) sem ter uma ação de encerramento aplicada a ela. Uma ação de encerramento interrompe a avaliação do pacote de proteção (ACL da Web) da solicitação e permite que ela continue na aplicação protegida ou a bloqueia. Para informações sobre as ações de regra, consulte [Usando ações de regras em AWS WAF](waf-rule-action.md).

A ação padrão do pacote de proteção (ACL da Web) deve determinar a disposição final da solicitação da Web, portanto, é uma ação de encerramento: 
+ **Allow**: se você deseja permitir que a maioria dos usuários acesse seu website, mas deseja bloquear o acesso a invasores cujas solicitações se originam de endereços IP especificados ou que pareçam conter código SQL mal-intencionado ou valores especificados, escolha Allow como ação padrão. Então, ao adicionar regras ao pacote de proteção (ACL da Web), adicione regras que identifiquem e bloqueiem as solicitações específicas que você deseja bloquear. Com essa ação, você pode inserir cabeçalhos personalizados na solicitação antes de encaminhá-la para o recurso protegido.
+ **Block**: se você deseja impedir que a maioria dos aspirantes a usuários acesse seu website, mas quer permitir acesso aos usuários cujas solicitações se originem de endereços IP especificados ou cujas solicitações contenham valores especificados, escolha Block como ação padrão. Então, ao adicionar regras ao pacote de proteção (ACL da Web), adicione regras que identifiquem e permitam as solicitações específicas cuja entrada você deseja permitir. Por padrão, para a Block ação, o AWS recurso responde com um código de `403 (Forbidden)` status HTTP, mas você pode personalizar a resposta. 

Para obter informações sobre como personalizar solicitações e respostas, consulte [Solicitações e respostas personalizadas da web em AWS WAF](waf-custom-request-response.md).

Sua configuração de suas próprias regras e grupos de regras depende, em parte, se você deseja permitir ou bloquear a maioria das solicitações da web. Por exemplo, se desejar *permitir* a maioria das solicitações, defina a ação padrão do pacote de proteção (ACL da Web) como Allow, e adicione regras que identifiquem solicitações da Web que você deseja *bloquear*, como as seguintes:
+ Solicitações originadas de endereços IP que estão fazendo um número sem cabimento de solicitações
+ Solicitações originadas de países nos quais você não faz negócios ou que sejam as origens de ataques frequentes
+ Solicitações que incluem valores falsos no cabeçalho do `User-agent`
+ Solicitações que aparentem incluir código SQL mal-intencionado

As regras do grupo de regras gerenciadas geralmente usam a ação Block, mas nem todas usam. Por exemplo, algumas regras usadas para o Controle de Bots usam as configurações de ação CAPTCHA e Challenge. Para saber mais sobre grupos de regras gerenciadas, consulte [Usando grupos de regras gerenciados em AWS WAF](waf-managed-rule-groups.md).

# Considerações para gerenciar a inspeção corporal em AWS WAF
<a name="web-acl-setting-body-inspection-limit"></a>

O limite de tamanho da inspeção do corpo é o tamanho máximo do corpo da solicitação que AWS WAF pode ser inspecionado. Quando o corpo de uma solicitação da web é maior que o limite, o serviço de hospedagem subjacente encaminha apenas o conteúdo que está dentro do limite AWS WAF para inspeção. 
+ Para Application Load Balancer e AWS AppSync, o limite é fixado em 8 KB (8.192 bytes).
+ Para CloudFront API Gateway, Amazon Cognito, App Runner e Verified Access, o limite padrão é de 16 KB (16.384 bytes), e você pode aumentar o limite para qualquer tipo de recurso em incrementos de 16 KB, até 64 KB. As opções de configuração são 16 KB, 32 KB, 48 KB e 64 KB. 

**Importante**  
AWS WAF não oferece suporte às regras de inspeção do corpo da solicitação para tráfego gRPC. Se você habilitou essas regras no pacote de proteção (web ACL) para uma CloudFront distribuição ou Application Load Balancer, qualquer solicitação que use gRPC ignorará as regras de inspeção do corpo da solicitação. Todas as outras AWS WAF regras ainda serão aplicadas. Para obter mais informações, consulte [Habilitar AWS WAF para distribuições](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/WAF-one-click.html) no *Amazon CloudFront Developer Guide*. 

**Tratamento de corpo de tamanho grande**  
Se o tráfego da Web incluir corpos maiores que o limite, seu tratamento configurado de tamanho grande será aplicado. Para obter informações sobre as opções para tratamento de tamanhos grandes, consulte [Componentes de solicitação da web de tamanho grande em AWS WAF](waf-oversize-request-components.md). 

**Considerações sobre preços para aumentar a definição do limite**  
AWS WAF cobra uma taxa básica para inspecionar o tráfego que está dentro do limite padrão para o tipo de recurso. 

Para CloudFront recursos do API Gateway, Amazon Cognito, App Runner e Verified Access, se você aumentar a configuração do limite, o tráfego que AWS WAF pode ser inspecionado incluirá tamanhos corporais até seu novo limite. Você paga uma taxa extra apenas pela inspeção de solicitações com tamanhos de corpo maiores do que os 16 KB padrão. Para saber mais sobre precificação, consulte [Precificação do AWS WAF](https://aws.amazon.com/waf/pricing/).

**Opções para modificar o limite de tamanho da inspeção de corpo**  
Você pode configurar o limite de tamanho da inspeção corporal para CloudFront recursos do API Gateway, Amazon Cognito, App Runner ou Verified Access. 

Ao criar ou editar um pacote de proteção (ACL da Web), você pode modificar os limites de tamanho da inspeção de corpo na configuração de associação de recurso. Para a API, consulte a configuração de associação do pacote de proteção (web ACL) em [AssociationConfig](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociationConfig.html). No console, veja a configuração na página na qual você especifica os recursos associados ao pacote de proteção (ACL da Web). Para obter orientação sobre a configuração do console, consulte [Visualizando métricas de tráfego da web em AWS WAF](web-acl-working-with.md). 

# Configurando CAPTCHA, desafio e tokens em AWS WAF
<a name="web-acl-captcha-challenge-token-domains"></a>

Você pode configurar opções em seu pacote de proteção (web ACL) para as regras que usam as ações de Challenge regra CAPTCHA ou e para a integração de aplicativos SDKs que gerencia os desafios silenciosos do cliente para proteções AWS WAF gerenciadas. 

Esses recursos atenuam a atividade dos bots desafiando os usuários finais com quebra-cabeças CAPTCHA e apresentando desafios silenciosos às sessões dos clientes. Quando o cliente responde com sucesso, o AWS WAF fornece um token para ele usar em sua solicitação na web, com timestamp do último quebra-cabeça bem-sucedido e das respostas ao desafio. Para obter mais informações, consulte [Mitigação inteligente de ameaças em AWS WAF](waf-managed-protections.md).

Na configuração do pacote de proteção (web ACL), você pode configurar como AWS WAF gerencia esses tokens: 
+ **Tempos de imunidade de CAPTCHA e desafio**: especificam por quanto tempo um CAPTCHA ou timestamp de desafio permanece válido. As configurações do pacote de proteção (Web ACL) são herdadas por todas as regras que não têm suas próprias configurações de tempo de imunidade definidas e também pela integração do aplicativo. SDKs Para obter mais informações, consulte [Definindo a expiração do carimbo de data/hora e os tempos de imunidade do token em AWS WAF](waf-tokens-immunity-times.md).
+ **Domínios de token** — Por padrão, AWS WAF aceita tokens somente para o domínio do recurso ao qual o pacote de proteção (Web ACL) está associado. Se você configurar uma lista de domínios de tokens, AWS WAF aceitará tokens para todos os domínios na lista e para o domínio do recurso associado. Para obter mais informações, consulte [AWS WAF configuração da lista de domínios de token do pacote de proteção (web ACL)](waf-tokens-domains.md#waf-tokens-domain-lists).

# Visualizando métricas de tráfego da web em AWS WAF
<a name="web-acl-working-with"></a>

Esta seção explica como acessar resumos de métricas de tráfego da Web.

Para qualquer pacote de proteção (web ACL) que você estiver usando, você pode acessar resumos das métricas de tráfego da web na página do pacote de proteção (web ACL) no AWS WAF console, na guia Visão geral do **tráfego**. Os painéis do console fornecem resumos quase em tempo real das CloudWatch métricas da Amazon que são AWS WAF coletadas quando avalia o tráfego web do seu aplicativo. Para saber mais sobre o painel, consulte [Painéis de visão geral do tráfego para pacotes de proteção (web) ACLs](web-acl-dashboards.md). Para obter informações adicionais sobre como monitorar o tráfego do pacote de proteção (ACL da Web), consulte [Monitorando e ajustando suas AWS WAF proteções](web-acl-testing-activities.md).

# Excluir um pacote de proteção (ACL da Web)
<a name="web-acl-deleting"></a>

Esta seção fornece procedimentos para excluir pacotes de proteção (web ACLs) por meio do AWS console. 

**Importante**  
A exclusão de um pacote de proteção (Web ACL) é permanente e não pode ser desfeita.

Para excluir um pacote de proteção (Web ACL), primeiro você desassocia todos os AWS recursos do pacote de proteção (Web ACL). Execute o procedimento a seguir.

------
#### [ Using the new console ]

1. Faça login no novo Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2-pro.](https://console.aws.amazon.com/wafv2-pro) 

1. No painel de navegação, escolha **Recursos e pacotes de proteção (web ACLs)**.

1. No cartão do pacote de proteção (ACL da Web), escolha o link **Editar** ao lado de **Recursos** para abrir o painel **Gerenciar recursos**.

1. Na seção **Gerenciar recursos** do grupo de regras, escolha o recurso que você deseja desassociar e, em seguida, escolha **Desassociar**.
**nota**  
Você deve desassociar um recurso por vez. Não escolha vários recursos. 

1. Na página de confirmação, digite “desassociar” e escolha **Desassociar**. Repita o procedimento para desassociar cada recurso no pacote de proteção (ACL da Web).

1. Escolha o pacote de proteção (ACL da Web) que você deseja excluir. O console torna o principal cartão do pacote de proteção (ACL da Web) editável e também abre um painel lateral com detalhes que você pode editar.

1. No painel de detalhes, selecione o ícone de lixeira.

1. Na página de confirmação, digite “excluir” e, em seguida, escolha **Excluir**.

------
#### [ Using the standard console ]

1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2). 

1. No painel de navegação, escolha **web ACLs**.

1. Selecione o nome da web ACL a ser excluída. O console leva você para a descrição da web ACL, onde é possível editá-la.
**nota**  
Se você não vê a ACL da web que deseja excluir, verifique se a seleção de região dentro da ACLs seção da web está correta. Qualquer site ACLs que proteja CloudFront as distribuições da Amazon está em **Global (CloudFront)**.

1. Na guia ** AWS Recursos associados**, para cada recurso associado, selecione o botão de rádio ao lado do nome do recurso e escolha **Desassociar**. Isso desassocia o pacote de proteção (Web ACL) dos seus recursos. AWS 

1. No painel de navegação, escolha **web ACLs**.

1. Selecione o botão de opção ao lado da web ACL que você está excluindo e selecione **Delete (Excluir)**.

------