As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Implante a solução
<a name="deploy-the-solution"></a>

Essa solução usa [ CloudFormation modelos e pilhas da AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) para automatizar sua implantação. Os CloudFormation modelos especificam os recursos da AWS incluídos nessa solução e suas propriedades. A CloudFormation pilha provisiona os recursos descritos nos modelos.

## Visão geral do processo de implantação
<a name="deployment-process-overview"></a>

Antes de iniciar o CloudFormation modelo, revise as considerações de arquitetura e configuração discutidas neste guia. Siga as step-by-step instruções nesta seção para configurar e implantar a solução em sua conta.

 **Tempo de implantação:** Aproximadamente 15 minutos.

**nota**  
Se você já implantou essa solução, consulte [Atualizar a solução](update-the-solution.md) para obter instruções de atualização.

 [Pré-requisitos](prerequisites.md) 
+ Configurar uma CloudFront distribuição
+ Configurar um ALB

 [Etapa 1. Inicie a pilha](step-1.-launch-the-stack.md) 
+ Inicie o CloudFormation modelo em sua conta da AWS.
+ Insira valores para os parâmetros necessários: Nome da **pilha e Nome do** **bucket do log de acesso ao aplicativo**.
+ Revise os outros parâmetros do modelo e ajuste, se necessário.

 [Etapa 2. Associe a ACL da web ao seu aplicativo da web](step-2.-associate-the-web-acl-with-your-web-application.md) 
+ Associe suas distribuições CloudFront web ou ALB (s) à ACL da web que essa solução gera. Você pode associar quantas distribuições ou balanceadores de carga quiser.

 [Etapa 3. Configurar o registro de acesso à web](step-3.-configure-web-access-logging.md) 
+ Ative o registro de acesso à CloudFront web para suas distribuições web ou ALB (s) e envie arquivos de log para o bucket apropriado do Amazon S3. Salve os registros em uma pasta que corresponda ao prefixo definido pelo usuário. Se nenhum prefixo definido pelo usuário for usado, salve os registros em AWSLogs (`AWSLogs/`prefixo de registro padrão). Consulte o parâmetro **Application Access Log Bucket Prefix** na [Etapa 1. Inicie a pilha](step-1.-launch-the-stack.md) para obter mais informações.

# CloudFormation Modelos da AWS
<a name="aws-cloudformation-templates"></a>

Essa solução inclui um CloudFormation modelo principal da AWS e dois modelos aninhados. Você pode baixar os CloudFormation modelos antes de implantar a solução.

## Stack principal
<a name="main-stack"></a>

 [![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/view-template.png)aws-waf-security-automations](https://s3.amazonaws.com/solutions-reference/security-automations-for-aws-waf/latest/aws-waf-security-automations.template)**.template** - Use esse modelo como ponto de entrada para iniciar a solução em sua conta. A configuração padrão implanta uma ACL web do AWS WAF com regras pré-configuradas. Você pode personalizar o modelo com base nas suas necessidades.

## Pilha WebACL
<a name="webacl-stack"></a>

 [![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/view-template.png)aws-waf-security-automations](https://s3.amazonaws.com/solutions-reference/security-automations-for-aws-waf/latest/aws-waf-security-automations-webacl.template)**-webacl.template** - Esse modelo aninhado provisiona recursos do AWS WAF, incluindo uma ACL da web, IP, conjuntos e outros recursos associados.

## Pilha Firehose Athena
<a name="firehose-athena-stack"></a>

 [![\[View Template\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/images/view-template.png)aws-waf-security-automations](https://s3.amazonaws.com/solutions-reference/security-automations-for-aws-waf/latest/aws-waf-security-automations-firehose-athena.template)**-firehose-athena.template** [— Esse modelo aninhado provisiona recursos relacionados ao AWS Glue, Athena e Firehose.](https://aws.amazon.com/glue/) Ele é criado quando você escolhe o **analisador de log Scanner & Probe** Athena ou o analisador de log **HTTP Flood Lambda** ou Athena.

**nota**  
Os CloudFormation recursos da AWS são criados a partir de construções do AWS Cloud Development Kit (AWS CDK).

Esse CloudFormation modelo da AWS implanta a solução Security Automations for AWS WAF na Nuvem AWS.

# Pré-requisitos
<a name="prerequisites"></a>

Essa solução foi projetada para funcionar com aplicativos web implantados com CloudFront ou com um ALB. Se você ainda não tiver um desses recursos configurado, conclua as tarefas aplicáveis antes de iniciar essa solução.

## Configurar uma CloudFront distribuição
<a name="configure-a-cloudfront-distribution"></a>

Conclua as etapas a seguir para configurar uma CloudFront distribuição para o conteúdo estático e dinâmico do seu aplicativo web. Consulte o [Amazon CloudFront Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) para obter instruções detalhadas.

1. Crie uma distribuição de aplicativos CloudFront web. Consulte [Criação de uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html).

1. Configure origens estáticas e dinâmicas. Consulte [Usando várias origens com CloudFront distribuições.](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DownloadDistS3AndCustomOrigins.html)

1. Especifique o comportamento da sua distribuição. Consulte os [valores que você especifica ao criar ou atualizar uma distribuição](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html).
**nota**  
Se você escolher `CloudFront` como seu endpoint, deverá criar seus WAFV2 recursos na região Leste dos EUA (Norte da Virgínia).

## Configurar um ALB
<a name="configure-an-alb"></a>

Para configurar um ALB para distribuir o tráfego de entrada para seu aplicativo web, consulte [Create an Application Load Balancer no *Guia do usuário para* Application Load](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) Balancers.

# Etapa 1. Iniciar a pilha
<a name="step-1.-launch-the-stack"></a>

Esse CloudFormation modelo automatizado da AWS implanta a solução na nuvem da AWS.

1. Faça login no [AWS Management Console](https://aws.amazon.com/console) e selecione o `waf-automation-on-aws.template` CloudFormation modelo **Launch Solution** to Launch.

    [https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=WAFSecurityAutomations&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fsecurity-automations-for-aws-waf%2Flatest%2Faws-waf-security-automations.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=WAFSecurityAutomations&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fsecurity-automations-for-aws-waf%2Flatest%2Faws-waf-security-automations.template&redirectId=ImplementationGuide) 

1. Por padrão, esse modelo é iniciado na região Leste dos EUA (Norte da Virgínia). Para iniciar essa solução em uma região diferente da AWS, use o seletor de regiões na barra de navegação do console. Se você escolher `CloudFront` como seu endpoint, deverá implantar a solução na região Leste dos EUA (Norte da Virgínia) (`us-east-1`).
**nota**  
Dependendo dos valores dos parâmetros de entrada definidos, essa solução requer recursos diferentes. Atualmente, esses recursos estão disponíveis somente em regiões específicas da AWS. Portanto, você deve iniciar essa solução em uma região da AWS onde esses serviços estejam disponíveis. Para obter mais informações, consulte [Regiões compatíveis da AWS](plan-your-deployment.md#supported-aws-regions).

1. Na página **Especificar modelo**, verifique se você selecionou o modelo correto e escolha **Avançar**.

1. Na página **Especificar detalhes da pilha**, atribua um nome à sua configuração do AWS WAF no campo Nome **da pilha**. Esse também é o nome da ACL da web que o modelo cria.

1. Em **Parâmetros**, revise os parâmetros do modelo e modifique-os conforme necessário. Para desativar um recurso específico, escolha `none` ou `no` conforme aplicável. Essa solução usa os seguintes valores padrão.    
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/pt_br/solutions/latest/security-automations-for-aws-waf/step-1.-launch-the-stack.html)

1. Escolha **Próximo**. 

1. Na página **Configurar opções de pilha**, você pode especificar tags (pares de valores-chave) para recursos em sua pilha e definir opções adicionais. Escolha **Próximo**.

1. Na página **Revisar e criar**, revise e confirme as configurações. Selecione as caixas confirmando que o modelo criará recursos do IAM e quaisquer recursos adicionais necessários.

1. Escolha **Enviar** para implantar a pilha.

   Veja o status da pilha no CloudFormation console da AWS na coluna **Status**. Você deve receber o status CREATE\$1COMPLETE em aproximadamente 15 minutos.
**nota**  
Além das funções `Log Parser` e do `IP Lists Parser` AWS Lambda, essa solução inclui as funções `helper` `custom-resource` Lambda e do AWS, que são executadas somente durante a configuração inicial ou quando os recursos são atualizados ou excluídos.  
Ao usar essa solução, você verá todas as funções no console do AWS Lambda, mas somente as três funções principais da solução estão regularmente ativas. Não exclua as outras duas funções; elas são necessárias para gerenciar os recursos associados.

Para ver detalhes sobre os recursos da pilha, escolha a guia **Saídas**. Isso inclui o **BadBotHoneypotEndpoint**valor. Lembre-se desse valor porque você o usará no [link Incorporar o Honeypot em seu aplicativo da web](embed-the-honeypot-link-in-your-web-application-optional.md).

# Etapa 2. Associe a ACL da web ao seu aplicativo da web
<a name="step-2.-associate-the-web-acl-with-your-web-application"></a>

Atualize sua (s) CloudFront distribuição (ões) ou ALB (s) para ativar o AWS WAF e o registro usando os recursos que você gerou [na Etapa 1. Inicie a pilha](step-1.-launch-the-stack.md).

1. Faça login no console do [AWS WAF.](https://console.aws.amazon.com/wafv2/)

1. Escolha a ACL da web que você deseja usar.

1. Na guia **Associated AWS resources (Recursos associados da AWS)** escolha **Add AWS resources (Adicionar recursos da AWS)**.

1. Em **Tipo de recurso**, escolha a CloudFront distribuição ou o ALB.

1. Selecione um recurso na lista e escolha **Adicionar** para salvar suas alterações.

# Etapa 3. Configurar o registro em log do acesso à web
<a name="step-3.-configure-web-access-logging"></a>

Configure CloudFront seu ALB para enviar logs de acesso à web para o bucket apropriado do Amazon S3 para que esses dados estejam disponíveis para a função Lambda do Log Parser.

## Armazene registros de acesso à web de uma CloudFront distribuição
<a name="store-web-access-logs-from-a-cloudfront-distribution"></a>

1. Faça login no [ CloudFront console da Amazon](https://console.aws.amazon.com/cloudfront/).

1. Selecione a distribuição do seu aplicativo web e escolha **Configurações de distribuição.** 

1. Na guia **Geral**, escolha **Editar**.

1. Para o **AWS WAF Web ACL**, escolha a solução de ACL da web criada (o parâmetro **Stack** name).

1. Para **Logging**, escolha **On**.

1. Em **Bucket for Logs**, escolha o bucket do S3 que você deseja usar para armazenar registros de acesso à web. Isso pode ser um bucket S3 novo ou existente que é usado na pilha principal e tem permissão CloudFront para gravar registros. A lista suspensa enumera os buckets associados à conta atual da AWS. Para obter mais informações, consulte [Introdução a uma CloudFront distribuição básica](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.SimpleDistribution.html) no *Amazon CloudFront Developer Guide*.

1. Defina o prefixo do log como o prefixo usado para implantar a solução. Você pode encontrar o prefixo na pilha principal, na guia **Parâmetros **AppAccessLogBucketPrefixParam****(padrão`AWSLogs/`).

1. Escolha **Yes, edit** para salvar as alterações.

Para obter mais informações, consulte [Configuração e uso de registros padrão (registros de acesso)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) no *Amazon CloudFront Developer Guide*.

## Armazene registros de acesso à web a partir de um Application Load Balancer
<a name="store-web-access-logs-from-an-application-load-balancer"></a>

1. Faça login no [console do Amazon Elastic Compute Cloud (Amazon EC2)](https://console.aws.amazon.com/ec2/).

1. No painel de navegação, selecione **Load Balancers**.

1. Selecione o ALB do seu aplicativo web.

1. Na guia **Descrição**, selecione **Editar atributos**.

1. Selecione **Habilitar logs de acesso**.

1. Para **localização do S3**, digite o nome do bucket do S3 que você deseja usar para armazenar registros de acesso à web. Isso pode ser um bucket S3 novo ou existente que é usado na pilha principal e tem permissão para que o Application Load Balancer grave registros.

1. Defina o prefixo do log como o prefixo usado para implantar a solução. Você pode encontrar o prefixo na pilha principal, na guia **Parâmetros **AppAccessLogBucketPrefixParam****(padrão`AWSLogs/`).

1. Escolha **Salvar**.

Para obter mais informações, consulte [os registros de acesso do seu Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html) no Guia do usuário do *Elastic Load Balancing*.