**Apresentando uma nova experiência de console para AWS WAF**
Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Trabalhar com grupos de regras gerenciadas
Esta seção fornece orientações para acessar e gerenciar seus grupos de regras gerenciadas.
Ao adicionar um grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher as mesmas opções de configuração que faria com seus próprios grupos de regras, além de configurações adicionais.
Por meio do console, você acessa as informações gerenciadas do grupo de regras durante o processo de adição e edição das regras em seus pacotes de proteção (web ACLs). Por meio da APIs interface de linha de comando (CLI), você pode solicitar diretamente as informações do grupo de regras gerenciadas.
Ao usar um grupo de regras gerenciadas no pacote de proteção (ACL da Web), você pode editar as seguintes configurações:
+ **Versão**: isso estará disponível somente se o grupo de regras for versionado. Para saber mais, consulte [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md).
+ **Substituir ações de regras**: você pode substituir as ações das regras no grupo de regras por qualquer ação. Configurá-los como Count é útil para testar um grupo de regras antes de usá-lo para gerenciar suas solicitações da web. Para saber mais, consulte [Substituições de ações de regras de grupos de regras](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rules).
+ **Instrução de redução de escopo**: você pode adicionar uma instrução de redução de escopo para filtrar solicitações da web que você não deseja avaliar com o grupo de regras. Para saber mais, consulte [Usando declarações de escopo reduzido em AWS WAF](waf-rule-scope-down-statements.md).
+ **Substituir ação do grupo de regras**: você pode substituir a ação que resulta da avaliação do grupo de regras e defini-la como Count somente. Essa opção não é comumente usada. Isso não altera a forma como AWS WAF avalia as regras no grupo de regras. Para obter mais informações, consulte [A ação de retorno do grupo de regras é substituída por Count](web-acl-rule-group-override-options.md#web-acl-rule-group-override-options-rule-group).
**Para editar as configurações do grupo de regras gerenciadas no pacote de proteção (ACL da Web)**
+ **Console**
+ (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher **Editar** para visualizar e editar as configurações.
+ (Opção) Depois de adicionar o grupo de regras gerenciadas ao seu pacote de proteção (web ACL), na página de **pacotes de proteção (web ACLs)**, escolha o pacote de proteção (web ACL) que você acabou de criar. Isso leva você para a página de edição do pacote de proteção (ACL da Web).
+ Escolha **Regras**.
+ Selecione o grupo de regras e escolha **Editar** para visualizar e editar as configurações.
+ **APIs e CLI** — fora do console, você pode gerenciar as configurações do grupo de regras gerenciadas ao criar e atualizar o pacote de proteção (Web ACL).
# Recuperação da lista de grupos de regras gerenciadas
Você pode recuperar a lista de grupos de regras gerenciados que estão disponíveis para você usar em seus pacotes de proteção (web ACLs). A lista inclui o seguinte:
+ Todos os grupos de regras de regras AWS gerenciadas.
+ Os grupos de AWS Marketplace regras nos quais você se inscreveu.
**nota**
Para obter informações sobre como se inscrever em grupos de AWS Marketplace regras, consulte[AWS Marketplace grupos de regras](marketplace-rule-groups.md).
Quando você recupera a lista de grupos de regras gerenciadas, a lista que você recebe depende da interface que você está usando:
+ **Console** — Por meio do console, você pode ver todos os grupos de regras gerenciados, incluindo os grupos de AWS Marketplace regras nos quais você ainda não se inscreveu. Para aqueles em que você ainda não se inscreveu, a interface fornece links que você pode seguir para fazê-lo.
+ **APIs e CLI** — fora do console, sua solicitação retorna somente os grupos de regras que estão disponíveis para você usar.
**Para recuperar a lista de grupos de regras gerenciadas**
+ **Console**: durante o processo de criação de uma web ACL, na página **Adicionar regras e grupos de regras**, escolha **Adicionar grupos de regras gerenciadas**. No nível superior, os nomes dos provedores são listados. Expanda cada listagem de fornecedor para ver a lista de grupos de regras gerenciadas. Para grupos de regras versionados, as informações mostradas nesse nível são para a versão padrão. Quando você adiciona um grupo de regras gerenciado ao pacote de proteção (ACL da Web), o console o lista com base no esquema de nomenclatura `-`.
+ **API**:
+ `ListAvailableManagedRuleGroups`
+ **CLI**:
+ `aws wafv2 list-available-managed-rule-groups --scope=`
# Recuperação das regras em um grupo de regras gerenciadas
Você pode recuperar uma lista de regras em um grupo de regras gerenciadas. As chamadas de API e CLI retornam as especificações de regras que você pode referenciar no modelo JSON ou por meio dele. AWS CloudFormation
**Para recuperar a lista de regras em um grupo de regras gerenciadas**
+ **Console**
+ (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher **Editar** para visualizar as regras.
+ (Opção) Depois de adicionar o grupo de regras gerenciadas ao seu pacote de proteção (web ACL), na página de **pacotes de proteção (web ACLs)**, escolha o pacote de proteção (web ACL) que você acabou de criar. Isso leva você para a página de edição do pacote de proteção (ACL da Web).
+ Escolha **Regras**.
+ Selecione o grupo de regras para o qual você deseja ver uma lista de regras e escolha **Editar**. AWS WAF mostra a lista de regras no grupo de regras.
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
# Recuperação das versões disponíveis para um grupo de regras gerenciadas
As versões disponíveis de um grupo de regras gerenciadas são versões que ainda não foram programadas para expirar. A lista indica qual versão é a versão padrão atual para o grupo de regras.
**Para recuperar uma lista das versões disponíveis de um grupo de regras gerenciadas**
+ **Console**
+ (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), você pode escolher **Editar** para ver as informações do grupo de regras. Expanda o menu suspenso **Versão** para ver a lista de versões disponíveis.
+ (Opção) Depois de adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), escolha **Editar** no pacote de proteção (ACL da Web) e, em seguida, selecione e edite a regra do grupo de regras. Expanda o menu suspenso **Versão** para ver a lista de versões disponíveis.
+ **API**:
+ `ListAvailableManagedRuleGroupVersions`
+ **CLI**:
+ `aws wafv2 list-available-managed-rule-group-versions --scope= --vendor-name --name `
# Adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console
Essa seção explica como adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console. Essa orientação se aplica a todos os grupos de regras de regras AWS gerenciadas e aos grupos de AWS Marketplace regras nos quais você está inscrito.
**Risco de tráfego de produção**
Antes de implantar alterações no pacote de proteção (ACL da Web) para tráfego de produção, teste-as e ajuste-as em um ambiente de preparação ou teste até se sentir confortável com o impacto potencial em seu tráfego. Em seguida, teste e ajuste suas regras atualizadas no modo de contagem com seu tráfego de produção antes de ativá-las. Para obter orientações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).
**nota**
Usar mais de 1.500 WCUs em um pacote de proteção (Web ACL) gera custos além do preço do pacote de proteção básico (Web ACL). Para saber mais, consulte [Unidades de capacidade do Web ACL (WCUs) em AWS WAF](aws-waf-capacity-units.md) e [Definição de preço do AWS WAF](https://aws.amazon.com/waf/pricing/).
**Para adicionar um grupo de regras gerenciadas a um pacote de proteção (ACL da Web) por meio do console**
**Para adicionar um grupo de regras gerenciadas a uma web ACL por meio do console**
1. Faça login no Console de gerenciamento da AWS e abra o AWS WAF console em [https://console.aws.amazon.com/wafv2/homev2](https://console.aws.amazon.com/wafv2/homev2).
1. Escolha **pacotes de proteção (web ACLs)** no painel de navegação.
1. Na página de **pacotes de proteção (web ACLs)**, na lista de pacotes de proteção (web ACLs), selecione aquele ao qual você deseja adicionar o grupo de regras. Isso o levará para a página do pacote de proteção (ACL da Web) único.
1. Na página de configurações do pacote de proteção (ACL da Web), escolha a guia **Regras**.
1. No painel **Regras**, escolha **Adicionar regras**, então **Adicionar grupos de regras gerenciadas**.
1. Na página **Adicionar grupos de regras gerenciadas**, expanda a seleção do fornecedor do seu grupo de regras para ver a lista de grupos de regras disponíveis.
1. Para cada grupo de regras que você deseja adicionar, escolha **Adicionar ao pacote de proteção (ACL da Web)**. Se você quiser alterar a configuração do pacote de proteção (ACL da Web) para o grupo de regras, escolha **Editar**, faça suas alterações e escolha **Salvar regra**. Para obter informações sobre as opções, consulte a orientação de versionamento em [Usando grupos de regras gerenciados com versão no AWS WAF](waf-managed-rule-groups-versioning.md) e a orientação para usar um grupo de regras gerenciadas em um pacote de proteção (ACL da Web) em [Usando declarações de grupos de regras gerenciadas em AWS WAF](waf-rule-statement-type-managed-rule-group.md).
1. Na página **Adicionar grupos de regras gerenciadas**, escolha **Adicionar regras**.
1. Na página **Definir prioridade da regra**, ajuste a ordem em que as regras são executadas conforme necessário e escolha **Salvar**. Para saber mais, consulte [Definir prioridade das regras](web-acl-processing-order.md).
Na página do pacote de proteção (ACL da Web), os grupos de regras gerenciadas que você adicionou estão listados na guia **Regras**.
Teste e ajuste todas as alterações em suas AWS WAF proteções antes de usá-las para tráfego de produção. Para mais informações, consulte [Testando e ajustando suas AWS WAF proteções](web-acl-testing.md).
**Inconsistências temporárias durante as atualizações**
Quando você cria ou altera um pacote de proteção (Web ACL) ou outros AWS WAF recursos, as alterações demoram um pouco para se propagar em todas as áreas em que os recursos estão armazenados. O tempo de propagação pode ser de alguns segundos a alguns minutos.
Os seguintes são exemplos de inconsistências temporárias com as quais você pode se deparar durante a propagação da alteração:
+ Depois de criar um pacote de proteção (ACL da Web), se você tentar associá-lo a um recurso, poderá obter uma exceção indicando que o pacote de proteção (ACL da Web) não está disponível.
+ Depois de adicionar um grupo de regras a um pacote de proteção (ACL da Web), as novas regras do grupo de regras podem estar em vigor em uma área em que pacote de proteção (ACL da Web) é usado e não em outra.
+ Depois de alterar uma configuração de ação de regra, você pode se deparar com a ação antiga em alguns lugares e a nova ação em outros.
+ Ou, se você adicionar um endereço IP a um conjunto de IPs que esteja em uso em uma regra de bloqueio, o novo endereço poderá ser brevemente bloqueado em uma área, enquanto ainda é permitido em outra.
# Como receber notificações sobre novas versões e atualizações de um grupo de regras gerenciadas
Esta seção explica como receber notificações do Amazon SNS sobre novas versões e atualizações.
Um provedor de grupos de regras gerenciadas usa notificações do SNS para anunciar alterações no grupo de regras, como novas versões futuras e atualizações de segurança urgentes.
**Para assinar as notificações do SNS**
Para se inscrever nas notificações de um grupo de regras, você cria uma assinatura do Amazon SNS para o ARN do tópico do Amazon SNS do grupo de regras na região Leste dos EUA (Norte da Virgínia) us-east-1.
Para obter informações sobre como se inscrever, consulte o [Guia do desenvolvedor do Amazon Simple Notification Service](https://docs.aws.amazon.com/sns/latest/dg/).
**nota**
Crie sua assinatura para o tópico do SNS somente na região us-east-1.
Todos os grupos de regras do AWS Managed Rules versionados usam o mesmo tópico do SNS Amazon Resource Name (ARN). Para obter mais informações sobre notificações de grupos de regras de regras AWS gerenciadas, consulte[Notificações de implantação](waf-managed-rule-groups-deployments-notifications.md).
**Onde encontrar o ARN do tópico do Amazon SNS para um grupo de regras gerenciadas**
AWS Os grupos de regras de regras gerenciadas usam um único ARN de tópico do SNS, para que você possa recuperar o ARN do tópico de um dos grupos de regras e se inscrever nele para receber notificações de todos os grupos de regras de regras gerenciadas que fornecem notificações AWS do SNS.
+ **Console**
+ (Opção) Ao adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), escolha **Editar** para ver as informações do grupo de regras, o que inclui o ARN do tópico do Amazon SNS do grupo de regras.
+ (Opção) Depois de adicionar o grupo de regras gerenciadas ao pacote de proteção (ACL da Web), escolha **Editar** no pacote de proteção (ACL da Web) e, em seguida, selecione e edite a regra do grupo de regras para ver o ARN do tópico do Amazon SNS do grupo de regras.
+ **API**: `DescribeManagedRuleGroup`
+ **CLI**: `aws wafv2 describe-managed-rule-group --scope= --vendor-name --name `
Para obter informações gerais sobre os formatos de notificação do Amazon SNS e como filtrar as notificações que você recebe, consulte [Análise de formatos de mensagens](https://docs.aws.amazon.com/sns/latest/dg/sns-message-and-json-formats.html) e [Políticas de filtro de assinatura do Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-subscription-filter-policies.html) no guia do desenvolvedor do Amazon Simple Notification Service.
# Acompanhamento da expiração da versão de um grupo de regras
Esta seção explica como monitorar o agendamento de expiração para um grupo de regras gerenciadas por meio da Amazon CloudWatch.
Se você usa uma versão específica de um grupo de regras, certifique-se de não continuar usando uma versão após a data de expiração.
**dica**
Inscreva-se para receber notificações do Amazon SNS para grupos de regras gerenciados e mantenha-se atualizado com as versões de grupos de regras gerenciadas. Você se beneficiará da maioria das up-to-date proteções do grupo de regras e permanecerá antes da expiração. Para mais informações, consulte [Como receber notificações sobre novas versões e atualizações](waf-using-managed-rule-groups-sns-topic.md).
**Para monitorar o agendamento de expiração para um grupo de regras gerenciado por meio da Amazon CloudWatch**
1. Em CloudWatch, localize as métricas de expiração do seu grupo AWS WAF de regras gerenciadas. As métricas têm os seguintes nomes e dimensões de métricas:
+ Nome da métrica: DaysToExpiry
+ Dimensões de métrica: Region, ManagedRuleGroup, Vendor e Version
Se você tiver um grupo de regras gerenciadas no pacote de proteção (ACL da Web) que esteja avaliando o tráfego, você obterá uma métrica para isso. A métrica não está disponível para grupos de regras que você não usa.
1. Defina um alarme para as métricas nas quais você está interessado, para que você seja notificado a tempo de mudar para uma versão mais recente do grupo de regras.
Para obter informações sobre o uso de CloudWatch métricas da Amazon e a configuração de alarmes, consulte o Guia [ CloudWatch do usuário da Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
# Exemplo de configurações de grupos de regras gerenciadas em JSON e YAML
Esta seção fornece exemplos de configurações de grupos de regras gerenciadas.
As chamadas de API e CLI retornam uma lista de todas as regras no grupo de regras gerenciadas que você pode referenciar no modelo JSON ou por meio dele. AWS CloudFormation
**JSON**
Você pode consultar e modificar grupos de regras gerenciadas dentro de uma instrução de regra usando JSON. A lista a seguir mostra o grupo de regras de regras AWS gerenciadas,`AWSManagedRulesCommonRuleSet`, no formato JSON. A especificação RuleActionOverrides lista uma regra cuja ação foi substituída por Count.
```
{
"Name": "AWS-AWSManagedRulesCommonRuleSet",
"Priority": 0,
"Statement": {
"ManagedRuleGroupStatement": {
"VendorName": "AWS",
"Name": "AWSManagedRulesCommonRuleSet",
"RuleActionOverrides": [
{
"ActionToUse": {
"Count": {}
},
"Name": "NoUserAgent_HEADER"
}
],
"ExcludedRules": []
}
},
"OverrideAction": {
"None": {}
},
"VisibilityConfig": {
"SampledRequestsEnabled": true,
"CloudWatchMetricsEnabled": true,
"MetricName": "AWS-AWSManagedRulesCommonRuleSet"
}
}
```
**YAML**
Você pode consultar e modificar grupos de regras gerenciadas em uma instrução de regra usando o modelo YAML do CloudFormation . A lista a seguir mostra o grupo de regras de regras AWS gerenciadas`AWSManagedRulesCommonRuleSet`,, no CloudFormation modelo. A especificação RuleActionOverrides lista uma regra cuja ação foi substituída por Count.
```
Name: AWS-AWSManagedRulesCommonRuleSet
Priority: 0
Statement:
ManagedRuleGroupStatement:
VendorName: AWS
Name: AWSManagedRulesCommonRuleSet
RuleActionOverrides:
- ActionToUse:
Count: {}
Name: NoUserAgent_HEADER
ExcludedRules: []
OverrideAction:
None: {}
VisibilityConfig:
SampledRequestsEnabled: true
CloudWatchMetricsEnabled: true
MetricName: AWS-AWSManagedRulesCommonRuleSet
```