AWS App Runner não estará mais aberto a novos clientes a partir de 30 de abril de 2026. Se você quiser usar o App Runner, inscreva-se antes dessa data. Os clientes atuais podem continuar usando o serviço normalmente. Para obter mais informações, consulte [Mudança de disponibilidade do AWS App Runner](https://docs.aws.amazon.com/apprunner/latest/dg/apprunner-availability-change.html).

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Gerenciando a AWS WAF web ACLs
<a name="waf-manage"></a>

Gerencie a AWS WAF web ACLs para seu serviço App Runner usando um dos seguintes métodos:
+ [Console do App Runner](#waf-manage.console)
+ [AWS CLI](#waf-manage.api)

## Console do App Runner
<a name="waf-manage.console"></a>

Ao [criar um serviço](manage-create.md) ou [atualizar um existente](manage-configure.md) no console do App Runner, você pode associar ou desassociar uma ACL AWS WAF da web. 

**nota**  
Um serviço App Runner só pode ser associado a uma ACL da web. No entanto, você pode associar uma ACL da web a mais de um serviço do App Runner, além de outros AWS recursos. 
Antes de associar uma Web ACL, certifique-se de atualizar suas permissões do IAM para AWS WAF. Para obter mais informações, consulte [Permissões do ](waf.md#waf.permissions). 

### Associando a ACL AWS WAF da web
<a name="waf-manage.console.add"></a>

**Importante**  
As regras de IP de origem para serviços privados do App Runner associados à Web ACLs *do WAF não aderem às regras baseadas em IP*. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de [grupo de segurança para endpoints privados](network-pl-manage.md) em vez de WAF web. ACLs

**Para associar uma AWS WAF ACL da web**

1. Abra o [console do App Runner](https://console.aws.amazon.com/apprunner) e, na lista **Regiões**, selecione seu Região da AWS.

1. Com base no fato de você estar criando ou atualizando um serviço, execute uma das seguintes etapas:
   + Se você estiver criando um novo serviço, escolha **Criar um serviço App Runner** e acesse **Configurar serviço**.
   + Se você estiver atualizando um serviço existente, escolha a guia **Configuração** e escolha **Editar** em **Configurar serviço**.

1. Vá para **Firewall de aplicativos da Web** em **Segurança**. 

1. Escolha o botão de alternância **Ativar** para ver as opções.   
![\[O layout do console do App Runner, mostrando as opções do Web Application Firewall.\]](http://docs.aws.amazon.com/pt_br/apprunner/latest/dg/images/console-waf.png)

1. Execute uma das seguintes etapas: 
   + **Para associar uma ACL da web existente**: escolha a ACL da web necessária na tabela **Escolha uma ACL da web** para associar ao seu serviço App Runner.
   + **Para criar uma nova ACL da web**: escolha **Criar ACL da web** para criar uma nova ACL da web usando o console. AWS WAF Para obter mais informações, consulte [Criação de uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) no *Guia do AWS WAF desenvolvedor*. 

     1. Escolha o botão Atualizar para visualizar a ACL da Web recém-criada na tabela **Escolher uma ACL da Web**. 

     1. Selecione a ACL da web necessária. 

1. Escolha **Avançar** se estiver criando um novo serviço ou **Salvar alterações** se estiver atualizando um serviço existente. A ACL da web selecionada está associada ao seu serviço App Runner. 

1. Para verificar a associação da Web ACL, escolha a guia **Configuração** do seu serviço e vá para **Configurar serviço**. Role até **Firewall do aplicativo Web** em **Segurança** para ver os detalhes da ACL da web associada ao seu serviço. 
**nota**  
Quando você cria uma ACL da web, passa um pequeno tempo até que a ACL da web se propague totalmente e fique disponível para o App Runner. O tempo de propagação pode ser de alguns segundos a alguns minutos. AWS WAF retorna a `WAFUnavailableEntityException` quando você tenta associar uma ACL da web antes que ela seja totalmente propagada.   
Se você atualizar o navegador ou sair do console do App Runner antes que a Web ACL seja totalmente propagada, a associação não ocorrerá. No entanto, você pode navegar no console do App Runner.

### Desassociando uma AWS WAF ACL da web
<a name="waf-manage.console.disassociate"></a>

Você pode desassociar a AWS WAF web ACl que não precisa mais [atualizando seu serviço](manage-configure.md) App Runner. 

**Para desassociar uma web AWS WAF ACl**

1. Abra o [console do App Runner](https://console.aws.amazon.com/apprunner) e, na lista **Regiões**, selecione seu Região da AWS.

1. Vá para a guia **Configuração** do serviço que você deseja atualizar e escolha **Editar** em **Configurar serviço**. 

1. Vá para **Firewall de aplicativos da Web** em **Segurança**. 

1. **Desative** o botão de alternância Ativar. Você recebe uma mensagem para confirmar a exclusão.

1. Escolha **Confirmar**. A Web ACL está desassociada do seu serviço App Runner. 
**nota**  
Se você quiser associar seu serviço a outra ACL da Web, selecione uma ACL da Web na tabela **Escolher uma ACL da Web**. O App Runner desassocia a ACL da web atual e inicia o processo de associação à ACL da web selecionada. 
Se nenhum outro serviço ou recurso do App Runner usar uma ACL da web não associada, considere excluir a ACL da web. Caso contrário, você continuará incorrendo em custos. Para obter mais informações sobre precificação, consulte [Precificação do AWS WAF](https://aws.amazon.com/waf/pricing). Para obter instruções sobre como excluir uma ACL da web, consulte [DeleteWebACL na Referência](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) da *AWS WAF API*. 
Você não pode excluir uma Web ACL associada a outros serviços ativos do App Runner ou a outros recursos. 

## AWS CLI
<a name="waf-manage.api"></a>

Você pode associar ou desassociar uma ACL AWS WAF da web usando o AWS WAF público. APIs O serviço App Runner, ao qual você deseja associar ou desassociar uma ACL da web, deve estar em um estado válido.

AWS WAF retorna um `WAFNonexistentItemException` erro quando você chama um dos seguintes AWS WAF APIs para um serviço App Runner que está em um estado inválido: 
+  `AssociateWebACL` 
+  `DisassociateWebACL` 
+  `GetWebACLForResource` 

Os estados inválidos do seu serviço App Runner incluem:
+  `CREATE_FAILED` 
+  `DELETE_FAILED` 
+  `DELETED` 
+  `OPERATION_IN_PROGRESS ` 
**nota**  
`OPERATION_IN_PROGRESS`O estado é inválido somente se o serviço App Runner estiver sendo excluído. 

Para obter mais informações sobre o AWS WAF público APIs, consulte o [https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**nota**  
Atualize suas permissões do IAM para AWS WAF. Para obter mais informações, consulte [Permissões do ](waf.md#waf.permissions). 

### Associando a AWS WAF Web ACL usando AWS CLI
<a name="waf-manage.api.add"></a>

**Importante**  
As regras de IP de origem para serviços privados do App Runner associados à Web ACLs *do WAF não aderem às regras baseadas em IP*. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de [grupo de segurança para endpoints privados](network-pl-manage.md) em vez de WAF web. ACLs

**Para associar uma AWS WAF ACL da web**

1. Crie uma ACL AWS WAF da web para seu serviço com seu conjunto preferido de ações de regras `Allow` ou solicitações `Block` da web para seu serviço. Para obter mais informações sobre AWS WAF APIs, consulte [CreateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_CreateWebACL.html) no *Guia de referência da AWS WAF API*.  
**Example Criar uma ACL da web - Solicitação**  

   ```
   aws wafv2
   create-web-acl
   --region <region>
   --name <web-acl-name>
   --scope REGIONAL
   --default-action Allow={}
   --visibility-config <file-name.json>
   # This is the file containing the WAF web ACL rules.
   ```

1. Associe a ACL da web que você criou ao serviço App Runner usando a API `associate-web-acl` AWS WAF pública. Para obter mais informações sobre AWS WAF APIs, consulte [AssociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_AssociateWebACL.html) no *Guia de referência da AWS WAF API*.
**nota**  
Quando você cria uma ACL da web, passa um pequeno tempo até que a ACL da web se propague totalmente e fique disponível para o App Runner. O tempo de propagação pode ser de alguns segundos a alguns minutos. AWS WAF retorna a `WAFUnavailableEntityException` quando você tenta associar uma ACL da web antes que ela seja totalmente propagada.   
Se você atualizar o navegador ou sair do console do App Runner antes que a Web ACL seja totalmente propagada, a associação não ocorrerá. No entanto, você pode navegar no console do App Runner.  
**Example Associando uma ACL da web - Solicitação**  

   ```
   aws wafv2 associate-web-acl
   --resource-arn <apprunner_service_arn>
   --web-acl-arn <web_acl_arn>
   --region <region>
   ```

1. Verifique se a ACL da web está associada ao seu serviço App Runner usando a API `get-web-acl-for-resource` AWS WAF pública. Para obter mais informações sobre AWS WAF APIs, consulte [GetWebACLForRecurso](https://docs.aws.amazon.com/waf/latest/APIReference/API_GetWebACLForResource.html) no *Guia de referência AWS WAF da API*.   
**Example Verificar a ACL da web para o recurso - Solicitação**  

   ```
   aws wafv2 get-web-acl-for-resource
   --resource-arn <apprunner_service_arn>
   --region <region>
   ```

   Se não houver nenhuma web ACLs associada ao seu serviço, você receberá uma resposta em branco.

### Excluindo uma ACL AWS WAF da web usando AWS CLI
<a name="waf-manage.api.disassociate"></a>

Você não pode excluir uma ACL AWS WAF da web se ela estiver associada a um serviço do App Runner.

**Para excluir uma AWS WAF ACL da web**

1. Desassocie a ACL da web do seu serviço App Runner usando a `disassociate-web-acl` AWS WAF API pública. Para obter mais informações sobre AWS WAF APIs, consulte [DisassociateWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DisassociateWebACL.html) no *Guia de referência da AWS WAF API*.   
**Example Desassociando uma ACL da web - Solicitação**  

   ```
   aws wafv2 disassociate-web-acl
   --resource-arn <apprunner_service_arn>
   --region <region>
   ```

1. Verifique se a ACL da web está desassociada do seu serviço App Runner usando a `get-web-acl-for-resource` AWS WAF API pública.   
**Example Verifique se a ACL da web está desassociada - Solicitação**  

   ```
   aws wafv2 get-web-acl-for-resource
   --resource-arn <apprunner_service_arn>
   --region <region>
   ```

   A ACL da web desassociada não está listada para seu serviço App Runner. Se não houver nenhuma web ACLs associada ao seu serviço, você receberá uma resposta em branco.

1. Exclua a ACL da web desassociada usando a API `delete-web-acl` AWS WAF pública. Para obter mais informações sobre AWS WAF APIs, consulte [DeleteWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_DeleteWebACL.html) no *Guia de referência da AWS WAF API*.  
**Example Excluir uma ACL da web - Solicitação**  

   ```
   aws wafv2 delete-web-acl
   --name <web_acl_name>
   --scope REGIONAL
   --id <web_acl_id>
   --lock-token <web_acl_lock_token>
   --region <region>
   ```

1. Verifique se a ACL da web foi excluída usando a API `list-web-acl` AWS WAF pública. Para obter mais informações sobre AWS WAF APIs, consulte [ListWebACLs](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListWebACLs.html)o *Guia de referência AWS WAF da API*.  
**Example Verifique se a ACL da web foi excluída - Solicitação**  

   ```
   aws wafv2 list-web-acls 
   --scope REGIONAL
   --region <region>
   ```

   A ACL da web excluída não está mais listada.
**nota**  
Se uma ACL da web estiver associada a outros serviços ativos do App Runner ou a outros recursos, como grupos de usuários do Amazon Cognito, a ACL da web não poderá ser excluída. 

### Listando os serviços do App Runner associados a uma ACL da web
<a name="waf-manage.api.list"></a>

Uma ACL da web pode ser associada a vários serviços do App Runner e outros recursos. Liste os serviços do App Runner associados a uma ACL da web usando a API `list-resources-for-web-acl` AWS WAF pública. Para obter mais informações sobre AWS WAF APIs, consulte [ListResourcesForWebACL](https://docs.aws.amazon.com/waf/latest/APIReference/API_ListResourcesForWebACL.html) no *Guia de referência da AWS WAF API*. 

**Example Listar serviços do App Runner associados a uma ACL da web - Solicitação**  

```
aws wafv2 list-resources-for-web-acl
--web-acl-arn <WEB_ACL_ARN>
--resource-type APP_RUNNER_SERVICE
--region <REGION>
```

**Example Listar serviços do App Runner associados a uma ACL da web - Resposta**  
O exemplo a seguir ilustra a resposta quando não há serviços do App Runner associados a uma ACL da web.  

```
{
  "ResourceArns": []
}
```

**Example Listar serviços do App Runner associados a uma ACL da web - Resposta**  
O exemplo a seguir ilustra a resposta quando há serviços do App Runner associados a uma ACL da web.  

```
{
  "ResourceArns": [
    "arn:aws:apprunner:<region>:<aws_account_id>:service/<service_name>/<service_id>"
  ]
}
```

## Testando e registrando AWS WAF na web ACLs
<a name="waf-manage.testing-and-logging"></a>

Quando você define uma ação de regra como **Count** em sua ACL da web, AWS WAF adiciona a solicitação a uma contagem de solicitações que correspondem à regra. Para testar uma ACL da web com seu serviço App Runner, defina ações de regra como **Count** e considere o volume de solicitações que correspondem a cada regra. Por exemplo, você define uma regra para a `Block` ação que corresponde a um grande número de solicitações que você determina como tráfego normal de usuários. Nesse caso, talvez seja necessário reconfigurar sua regra. Para obter mais informações, consulte [Teste e ajuste de suas AWS WAF proteções](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-testing.html) no *Guia do AWS WAF desenvolvedor*. 

Você também pode configurar AWS WAF para registrar cabeçalhos de solicitação em um grupo de CloudWatch logs do Amazon Logs, em um bucket do Amazon Simple Storage Service (Amazon S3) ou em um Amazon Data Firehose. Para obter mais informações, consulte [Logging web ACL traffic](https://docs.aws.amazon.com/waf/latest/developerguide/logging.html) (Registrar em log o tráfego da ACL da web) no *Guia do desenvolvedor do AWS WAF *. 

Para acessar registros relacionados à ACL da web associada ao seu serviço App Runner, consulte os seguintes campos de registro: 
+ `httpSourceName`: Contém `APPRUNNER` 
+ `httpSourceId`: Contém `customeraccountid-apprunnerserviceid`

Para obter mais informações, consulte [Exemplos de registros](https://docs.aws.amazon.com/waf/latest/developerguide/logging-examples.html) no *Guia do AWS WAF desenvolvedor*. 

**Importante**  
As regras de IP de origem para serviços privados do App Runner associados à Web ACLs *do WAF não aderem às regras baseadas em IP*. Isso ocorre porque atualmente não oferecemos suporte ao encaminhamento de dados IP de origem da solicitação para os serviços privados do App Runner associados ao WAF. Se seu aplicativo App Runner exigir regras de controle de tráfego de entrada IP/CIDR de origem, você deverá usar regras de [grupo de segurança para endpoints privados](network-pl-manage.md) em vez de WAF web. ACLs