Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Déployez la solution
Cette solution utilise des [ CloudFormation modèles et des piles AWS](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-whatis-concepts.html) pour automatiser son déploiement. Les CloudFormation modèles spécifient les ressources AWS incluses dans cette solution et leurs propriétés. La CloudFormation pile fournit les ressources décrites dans les modèles.
## Vue d'ensemble du processus de déploiement
Avant de lancer le CloudFormation modèle, passez en revue les considérations relatives à l'architecture et à la configuration décrites dans ce guide. Suivez les step-by-step instructions de cette section pour configurer et déployer la solution dans votre compte.
**Temps de déploiement :** environ 15 minutes.
**Note**
Si vous avez déjà déployé cette solution, consultez [Mettre à jour la solution](update-the-solution.md) pour obtenir des instructions de mise à jour.
[Prérequis](prerequisites.md)
+ Configuration d'une CloudFront distribution
+ Configuration d'un ALB
[Étape 1. Lancez la pile](step-1.-launch-the-stack.md)
+ Lancez le CloudFormation modèle sur votre compte AWS.
+ Entrez des valeurs pour les paramètres requis : **Stack Name** et **Application Access Log Bucket Name**.
+ Vérifiez les autres paramètres de modèle et ajustez-les si nécessaire.
[Étape 2. Associez l'ACL Web à votre application Web](step-2.-associate-the-web-acl-with-your-web-application.md)
+ Associez vos distributions CloudFront Web ou ALB à l'ACL Web générée par cette solution. Vous pouvez associer autant de distributions ou d'équilibreurs de charge que vous le souhaitez.
[Étape 3. Configuration de la journalisation des accès Web](step-3.-configure-web-access-logging.md)
+ Activez la journalisation des accès CloudFront Web pour vos distributions Web ou ALB, et envoyez les fichiers journaux au compartiment Amazon S3 approprié. Enregistrez les journaux dans un dossier correspondant au préfixe défini par l'utilisateur. Si aucun préfixe défini par l'utilisateur n'est utilisé, enregistrez les journaux dans AWSLogs (`AWSLogs/`préfixe de journal par défaut). Consultez le paramètre **Application Access Log Bucket Prefix** à l'[étape 1. Lancez la pile](step-1.-launch-the-stack.md) pour plus d'informations.
# CloudFormation Modèles AWS
Cette solution inclut un CloudFormation modèle AWS principal et deux modèles imbriqués. Vous pouvez télécharger les CloudFormation modèles avant de déployer la solution.
## Pile principale
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/security-automations-for-aws-waf/images/view-template.png)aws-waf-security-automations](https://s3.amazonaws.com/solutions-reference/security-automations-for-aws-waf/latest/aws-waf-security-automations.template)**.template** - Utilisez ce modèle comme point d'entrée pour lancer la solution dans votre compte. La configuration par défaut déploie une ACL Web AWS WAF avec des règles préconfigurées. Vous pouvez personnaliser le modèle en fonction de vos besoins.
## pile WebACL
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/security-automations-for-aws-waf/images/view-template.png)aws-waf-security-automations](https://s3.amazonaws.com/solutions-reference/security-automations-for-aws-waf/latest/aws-waf-security-automations-webacl.template)**-webacl.template** - Ce modèle imbriqué fournit des ressources AWS WAF, notamment une ACL Web, une adresse IP, des ensembles et d'autres ressources associées.
## Pile Firehose Athena
[![\[View Template\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/security-automations-for-aws-waf/images/view-template.png)aws-waf-security-automations](https://s3.amazonaws.com/solutions-reference/security-automations-for-aws-waf/latest/aws-waf-security-automations-firehose-athena.template)**-firehose-athena.template** [- Ce modèle imbriqué fournit des ressources liées à AWS Glue, Athena et Firehose.](https://aws.amazon.com/glue/) Il est créé lorsque vous choisissez l'**analyseur de journaux Athena de Scanner & Probe** ou l'analyseur de journaux HTTP **Flood Lambda** ou Athena.
**Note**
Les CloudFormation ressources AWS sont créées à partir des constructions du kit AWS Cloud Development Kit (AWS CDK).
Ce CloudFormation modèle AWS déploie la solution Security Automations for AWS WAF dans le cloud AWS.
# Prérequis
Cette solution est conçue pour fonctionner avec des applications Web déployées avec CloudFront ou avec un ALB. Si aucune de ces ressources n'est déjà configurée, effectuez les tâches applicables avant de lancer cette solution.
## Configuration d'une CloudFront distribution
Procédez comme suit pour configurer une CloudFront distribution pour le contenu statique et dynamique de votre application Web. Reportez-vous au manuel [Amazon CloudFront Developer Guide](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) pour obtenir des instructions détaillées.
1. Créez une distribution d'applications CloudFront Web. Reportez-vous à [la section Création d'une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-creating-console.html).
1. Configurez les origines statiques et dynamiques. Reportez-vous à la section [Utilisation de différentes origines avec CloudFront les distributions](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/DownloadDistS3AndCustomOrigins.html).
1. Spécifiez le comportement de votre distribution. Reportez-vous aux [valeurs que vous spécifiez lorsque vous créez ou mettez à jour une distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html).
**Note**
Si vous `CloudFront` le souhaitez comme point de terminaison, vous devez créer vos WAFV2 ressources dans la région USA Est (Virginie du Nord).
## Configuration d'un ALB
Pour configurer un ALB afin de distribuer le trafic entrant vers votre application Web, reportez-vous à la section [Créer un équilibreur de charge d'application](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/create-application-load-balancer.html) dans *le guide de l'utilisateur pour les équilibreurs de charge d'application*.
# Étape 1. Lancement de la pile
Ce CloudFormation modèle AWS automatisé déploie la solution sur le cloud AWS.
1. Connectez-vous à [AWS Management Console](https://aws.amazon.com/console) et sélectionnez la **solution de lancement** pour lancer le `waf-automation-on-aws.template` CloudFormation modèle.
[https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=WAFSecurityAutomations&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fsecurity-automations-for-aws-waf%2Flatest%2Faws-waf-security-automations.template&redirectId=ImplementationGuide](https://console.aws.amazon.com/cloudformation/home?region=us-east-1#/stacks/new?stackName=WAFSecurityAutomations&templateURL=https:%2F%2Fs3.amazonaws.com%2Fsolutions-reference%2Fsecurity-automations-for-aws-waf%2Flatest%2Faws-waf-security-automations.template&redirectId=ImplementationGuide)
1. Le modèle est lancé par défaut dans la région USA Est (Virginie du Nord). Pour lancer cette solution dans une autre région AWS, utilisez le sélecteur de région dans la barre de navigation de la console. Si vous `CloudFront` le souhaitez comme point de terminaison, vous devez déployer la solution dans la région USA Est (Virginie du Nord`us-east-1`) ().
**Note**
Selon les valeurs des paramètres d'entrée que vous définissez, cette solution nécessite différentes ressources. Ces ressources ne sont actuellement disponibles que dans certaines régions AWS. Par conséquent, vous devez lancer cette solution dans une région AWS où ces services sont disponibles. Pour plus d'informations, consultez la section [Régions AWS prises en charge](plan-your-deployment.md#supported-aws-regions).
1. Sur la page **Spécifier le modèle**, vérifiez que vous avez sélectionné le bon modèle et choisissez **Next**.
1. Sur la page **Spécifier les détails de la pile**, attribuez un nom à votre configuration AWS WAF dans le champ **Stack name**. Il s'agit également du nom de l'ACL Web créée par le modèle.
1. Sous **Paramètres**, passez en revue les paramètres du modèle et modifiez-les si nécessaire. Pour désactiver une fonctionnalité particulière, sélectionnez `none` ou selon `no` le cas. Cette solution utilise les valeurs par défaut suivantes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/solutions/latest/security-automations-for-aws-waf/step-1.-launch-the-stack.html)
1. Choisissez **Suivant**.
1. Sur la page **Configurer les options de pile**, vous pouvez spécifier des balises (paires clé-valeur) pour les ressources de votre pile et définir des options supplémentaires. Choisissez **Suivant**.
1. Sur la page **Réviser et créer**, vérifiez et confirmez les paramètres. Cochez les cases indiquant que le modèle créera des ressources IAM et toutes les fonctionnalités supplémentaires requises.
1. Choisissez **Submit** pour déployer la pile.
Consultez l'état de la pile dans la CloudFormation console AWS dans la colonne **Status**. Vous devriez recevoir le statut CREATE\$1COMPLETE dans 15 minutes environ.
**Note**
Outre les fonctions `Log Parser` et `IP Lists Parser` AWS Lambda, cette solution inclut les fonctions et `helper` `custom-resource` Lambda, qui s'exécutent uniquement lors de la configuration initiale ou lorsque les ressources sont mises à jour ou supprimées.
Lorsque vous utilisez cette solution, toutes les fonctions s'affichent dans la console AWS Lambda, mais seules les trois fonctions principales de la solution sont régulièrement actives. Ne supprimez pas les deux autres fonctions ; elles sont nécessaires pour gérer les ressources associées.
Pour obtenir des informations détaillées sur les ressources de la pile, cliquez sur l'onglet **Sorties**. Cela inclut la **BadBotHoneypotEndpoint**valeur. N'oubliez pas cette valeur car elle sera utilisée dans [Intégrer le lien Honeypot dans votre application Web](embed-the-honeypot-link-in-your-web-application-optional.md).
# Étape 2. Associez l'ACL Web à votre application Web
Mettez à jour vos CloudFront distributions ou ALB pour activer AWS WAF et la journalisation à l'aide des ressources que vous avez générées [à l'étape 1. Lancez la pile](step-1.-launch-the-stack.md).
1. Connectez-vous à la console [AWS WAF](https://console.aws.amazon.com/wafv2/).
1. Choisissez l'ACL Web que vous souhaitez utiliser.
1. Sous l'onglet **Ressources AWS associées**, choisissez **Ajouter des ressources AWS**.
1. Sous **Type de ressource**, choisissez la CloudFront distribution ou ALB.
1. Sélectionnez une ressource dans la liste, puis choisissez **Ajouter** pour enregistrer vos modifications.
# Étape 3. Configuration de la journalisation des accès web
CloudFront Configurez votre ALB pour envoyer les journaux d'accès Web au compartiment Amazon S3 approprié afin que ces données soient disponibles pour la fonction Lambda du Log Parser.
## Stocker les journaux d'accès Web d'une CloudFront distribution
1. Connectez-vous à la [ CloudFront console Amazon](https://console.aws.amazon.com/cloudfront/).
1. Sélectionnez la distribution de votre application Web, puis sélectionnez **Paramètres de distribution.**
1. Sous l’onglet **General**, choisissez **Edit**.
1. Pour **AWS WAF Web ACL**, choisissez la solution ACL Web créée (le paramètre **Stack name**).
1. Pour **Journalisation**, choisissez **Activé**.
1. Pour **Bucket for Logs**, choisissez le compartiment S3 que vous souhaitez utiliser pour stocker les journaux d'accès au Web. Il peut s'agir d'un compartiment S3 nouveau ou existant utilisé dans la pile principale et autorisé CloudFront à écrire des journaux. La liste déroulante répertorie les buckets associés au compte AWS actuel. Pour plus d'informations, consultez [Getting started with a basic CloudFront distribution](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GettingStarted.SimpleDistribution.html) dans le manuel *Amazon CloudFront Developer Guide*.
1. Définissez le préfixe du journal sur le préfixe utilisé pour déployer la solution. Vous pouvez trouver le préfixe dans la pile principale, onglet **Paramètres **AppAccessLogBucketPrefixParam****(par défaut`AWSLogs/`).
1. Pour enregistrer vos modifications, choisissez **Oui, modifier**.
Pour plus d'informations, reportez-vous à la [section Configuration et utilisation de journaux standard (journaux d'accès)](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html) dans le manuel *Amazon CloudFront Developer Guide*.
## Stocker les journaux d'accès au Web à partir d'un Application Load Balancer
1. Connectez-vous à la [console Amazon Elastic Compute Cloud (Amazon EC2)](https://console.aws.amazon.com/ec2/).
1. Dans le volet de navigation, choisissez **Load Balancers**.
1. Sélectionnez l'ALB de votre application Web.
1. Dans l'onglet **Description**, choisissez **Modifier des attributs**.
1. Choisissez **Activer les journaux d'accès**.
1. Pour l'**emplacement S3**, tapez le nom du compartiment S3 que vous souhaitez utiliser pour stocker les journaux d'accès Web. Il peut s'agir d'un compartiment S3 nouveau ou existant utilisé dans la pile principale et autorisé Application Load Balancer à écrire des journaux.
1. Définissez le préfixe du journal sur le préfixe utilisé pour déployer la solution. Vous pouvez trouver le préfixe dans la pile principale, onglet **Paramètres **AppAccessLogBucketPrefixParam****(par défaut`AWSLogs/`).
1. Choisissez **Enregistrer**.
Pour plus d'informations, reportez-vous aux [journaux d'accès de votre Application Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html) dans le guide de l'*utilisateur d'Elastic Load Balancing*.