Implantações de Release Candidate para Regras AWS Gerenciadas - AWS WAF, AWS Firewall Manager, AWS Shield Advanced, e diretor AWS Shield de segurança de rede

Apresentando uma nova experiência de console para AWS WAF

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Consulte mais detalhes em Trabalhando com a experiência atualizada do console.

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Implantações de Release Candidate para Regras AWS Gerenciadas

Esta seção explica como funciona uma implantação temporária de liberação de candidato.

Quando AWS um conjunto candidato de regras muda para um grupo de regras gerenciado, ele as testa em uma implantação temporária do Release Candidate. AWS avalia as regras candidatas no modo de contagem em relação ao tráfego de produção e executa as atividades de ajuste final, incluindo a mitigação de falsos positivos. AWS testa as regras Release Candidate dessa forma para todos os clientes que usam a versão padrão do grupo de regras. As implantações de candidata a lançamento não se aplicam a clientes que usam uma versão estática do grupo de regras.

Se você usar a versão padrão, uma implantação de candidata a lançamento não alterará a forma como seu tráfego da web é gerenciado pelo grupo de regras. Você pode observar o seguinte enquanto as regras da candidata estão sendo testadas:

  • O nome da versão padrão muda de Default (using Version_X.Y) para Default (using Version_X.Y_PLUS_RC_COUNT).

  • Métricas de contagem adicionais na Amazon CloudWatch com RC_COUNT seus nomes. Elas são geradas pelas regras da candidata a lançamento.

AWS testa um candidato a lançamento por cerca de uma semana, depois o remove e redefine a versão padrão para a versão estática recomendada atualmente.

AWS executa as seguintes etapas para uma implantação do Release Candidate:

  1. Criar o candidato a lançamento — AWS adiciona um candidato a lançamento com base na versão estática recomendada atual, que é a versão para a qual o padrão está apontando.

    O nome do candidata a lançamento é o nome da versão estática acrescido de _PLUS_RC_COUNT. Por exemplo, se a versão estática recomendada atualmente for Version_2.1, a candidata a lançamento será nomeada Version_2.1_PLUS_RC_COUNT.

    A candidata a lançamento contém as seguintes regras:

    • Regras copiadas exatamente da versão estática recomendada atual, sem alterações nas configurações das regras.

    • Novas regras do candidato com a ação da regra definida como Count e com nomes que terminam com_RC_COUNT.

      A maioria das regras da candidata fornece propostas de melhorias para as regras que já existem no grupo de regras. O nome de cada uma dessas regras é o nome da regra existente acrescido de _RC_COUNT.

  2. Defina a versão padrão para o candidato a lançamento e teste — AWS define a versão padrão para apontar para o novo candidato a lançamento, para realizar testes em relação ao seu tráfego de produção. O teste geralmente leva cerca de uma semana.

    Você verá o nome da versão padrão mudar daquele que indica somente a versão estática, como Default (using Version_1.4), para um que indica a versão estática mais as regras da candidata a lançamento, como Default (using Version_1.4_PLUS_RC_COUNT). Esse esquema de nomenclatura permite identificar qual versão estática você está usando para gerenciar seu tráfego da web.

    O diagrama a seguir mostra o estado das versões de exemplo de grupos de regras neste momento.

    Na parte superior da figura estão três versões estáticas empilhadas, com Version_1.4 na parte superior. Separada da pilha de versões estáticas está a versão VERSION_1.4_PLUS_RC_COUNT. Essa versão contém as regras de Version_1.4 e também contém duas regras da candidata a lançamento, RuleB_RC_COUNT e RuleZ_RC_COUNT, ambas com ação de contagem. O indicador de versão padrão aponta para Version_1.4_PLUS_RC_COUNT.

    As regras do candidato a lançamento são sempre configuradas com Count ação, para que não alterem a forma como o grupo de regras gerencia o tráfego da web.

    As regras do Release Candidate geram métricas de CloudWatch contagem da Amazon que são AWS usadas para verificar o comportamento e identificar falsos positivos. AWS faz ajustes conforme necessário, para ajustar o comportamento das regras de contagem de candidatos a lançamento.

    A versão candidata a lançamento não é estática e não está disponível para você escolher na lista de versões estáticas de grupos de regras. Você só pode ver o nome da versão candidata a lançamento na especificação da versão padrão.

  3. Retorne a versão padrão para a versão estática recomendada — Depois de testar as regras do candidato a lançamento, AWS define a versão padrão de volta para a versão estática recomendada atual. A configuração padrão do nome da versão elimina o _PLUS_RC_COUNT final e o grupo de regras deixa de gerar métricas de CloudWatch contagem para as regras do Release Candidate. Essa é uma mudança silenciosa e não é o mesmo que a implantação de uma reversão de versão padrão.

    O diagrama a seguir mostra o estado das versões de exemplo do grupo de regras após a conclusão do teste da candidata a lançamento.

    Esta é a figura típica dos estados da versão novamente. Três versões estáticas Version_1.2, Version_1.3 e Version_1.4 estão empilhadas, com Version_1.4 na parte superior. Version_1.4 tem duas regras, RuleA e RuleB, ambas com ação de produção. Um indicador de versão padrão aponta para Version_1.4.
Tempo e notificações

AWS implanta versões candidatas a lançamento conforme necessário, para testar melhorias em um grupo de regras.

  • SNS — AWS envia uma notificação de SNS no início da implantação. A notificação indica o tempo estimado em que a candidata a lançamento será testada. Quando o teste for concluído, retornará AWS silenciosamente o padrão para a configuração da versão estática, sem uma segunda notificação.

  • Registro de alterações — AWS não atualiza o registro de alterações ou outras partes deste guia para esse tipo de implantação.