As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Instâncias de Acesso Verificado
Uma Acesso Verificado pela AWS instância é um AWS recurso que ajuda você a organizar seus provedores de confiança e grupos de acesso verificado. Uma instância avalia as solicitações da aplicação e concede acesso somente quando os requisitos de segurança são atendidos.
**Topics**
+ [Criar e gerenciar uma instância do Acesso Verificado](create-verified-access-instance.md)
+ [Excluir uma instância do Acesso Verificado](delete-verified-access-instance.md)
+ [Integre o acesso verificado com AWS WAF](waf-integration.md)
+ [Conformidade com FIPS para Acesso Verificado](fips-compliance.md)
# Criar e gerenciar uma instância do Acesso Verificado
As instâncias do Acesso Verificado podem ser usadas para organizar provedores de confiança e grupos do Acesso Verificado. Use os procedimentos a seguir para criar uma instância do Acesso Verificado, depois anexe um provedor de confiança ao Acesso Verificado ou desanexe um provedor de confiança do Acesso Verificado.
**Topics**
+ [Criar uma instância do Acesso Verificado](#create-instance)
+ [Anexar um provedor de confiança a uma instância do Acesso Verificado](#attach-trust-provider)
+ [Desanexar um provedor de confiança de uma instância do Acesso Verificado](#detach-trust-provider)
+ [Adicionar um subdomínio personalizado](#modify-custom-subdomain)
## Criar uma instância do Acesso Verificado
Use o procedimento a seguir para criar uma instância do Acesso Verificado.
**Para criar uma instância de acesso verificado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, escolha **Instâncias de Acesso Verificado** e, em seguida, **Criar instância de Acesso Verificado**.
1. (Opcional) Em **Nome** e **Descrição**, insira um nome e uma descrição para a instância do Acesso Verificado.
1. (Endpoints CIDR de rede) Em **Subdomínio personalizado para endpoint CIDR de rede**, insira um subdomínio personalizado.
1. (Opcional) Escolha **Ativar** para **os Padrões Federais de Processo de Informações (FIPS)** se você precisar que o Acesso Verificado seja compatível com FIPS.
1. (Opcional) Para **provedor confiável de acesso verificado**, escolha um provedor de confiança para anexar à instância de acesso verificado.
1. (Opcional) Para adicionar uma tag, escolha **Adicionar nova tag** e insira a chave e o valor da tag.
1. Escolha **Criar instância de Acesso Verificado**.
**Para criar uma instância de acesso verificado usando o AWS CLI**
Use o comando [create-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-verified-access-instance.html).
## Anexar um provedor de confiança a uma instância do Acesso Verificado
Use o procedimento a seguir para associar um provedor de confiança a uma instância do Acesso Verificado.
**Para conectar um provedor de confiança a uma instância de acesso verificado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância.
1. Escolha **Ações**, **Anexar provedor confiável de Acesso Verificado**.
1. Para **provedor confiável de Acesso Verificado**, escolha um provedor confiável.
1. Escolha **Anexar provedor confiável de Acesso Verificado**.
**Para vincular um provedor de confiança a uma instância de acesso verificado usando o AWS CLI**
Use o comando [attach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/attach-verified-access-trust-provider.html).
## Desanexar um provedor de confiança de uma instância do Acesso Verificado
Use o procedimento a seguir para desvincular um provedor de confiança de uma instância do Acesso Verificado.
**Para separar um provedor confiável de uma instância de acesso verificado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância.
1. Escolha **Ações**, **Desanexe o provedor confiável de Acesso Verificado**.
1. Para **provedor confiável de Acesso Verificado**, escolha o provedor confiável.
1. Escolha **Desanexar provedor confiável de Acesso Verificado**.
**Para separar um provedor confiável de uma instância de acesso verificado usando o AWS CLI**
Use o comando [detach-verified-access-trust-provider](https://docs.aws.amazon.com/cli/latest/reference/ec2/detach-verified-access-trust-provider.html).
## Adicionar um subdomínio personalizado
Use o procedimento a seguir para adicionar ou atualizar um subdomínio personalizado. Esse subdomínio é usado somente quando você cria um endpoint [CIDR de rede](create-network-cidr-endpoint.md).
**Para adicionar um subdomínio personalizado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância.
1. Escolha **Ações**, **Modificar instância de acesso verificado**.
1. Em **Subdomínio personalizado para endpoint CIDR de rede**, insira um subdomínio personalizado.
1. Escolha **Modificar instância de acesso verificado**.
1. Atualize os servidores de nomes do seu subdomínio, inserindo os servidores de nomes fornecidos pelo Acesso Verificado. Essa lista está disponível em **Servidores de nomes** na guia **Detalhes** da instância.
**Para adicionar um subdomínio personalizado usando o AWS CLI**
Use o comando [modify-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/modify-verified-access-instance.html).
# Excluir uma instância do Acesso Verificado
Quando não precisar mais de uma instância do Acesso Verificado, você poderá excluí-la. Antes de excluir uma instância, você deve remover todos os provedores de confiança ou grupos de Acesso Verificado associados.
**Para excluir uma instância de acesso verificado usando o console**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado.
1. Escolha **Ações**, **Excluir instância de Acesso Verificado**.
1. Quando a confirmação for solicitada, insira **delete** e escolha **Excluir**.
**Para excluir uma instância de acesso verificado usando o AWS CLI**
Use o comando [delete-verified-access-instance](https://docs.aws.amazon.com/cli/latest/reference/ec2/delete-verified-access-instance.html).
# Integre o acesso verificado com AWS WAF
Além das regras de autenticação e autorização impostas pelo Acesso Verificado, talvez você também queira aplicar a proteção de perímetro. Isso pode ajudar você a proteger seus aplicativos contra ameaças adicionais. Você pode fazer isso AWS WAF integrando-se à sua implantação do Verified Access. AWS WAF é um firewall de aplicativo web que permite monitorar as solicitações HTTP que são encaminhadas para seus recursos protegidos de aplicativos web. Para obter mais informações, consulte o [Guia do desenvolvedor do AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/).
Você pode se integrar ao Acesso Verificado AWS WAF associando uma lista de controle de acesso à AWS WAF web (ACL) a uma instância de Acesso Verificado. Uma ACL da web é um AWS WAF recurso que oferece controle refinado sobre todas as solicitações HTTP da web às quais seu recurso protegido responde. Enquanto a solicitação de AWS WAF associação ou desassociação está sendo processada, o status de qualquer endpoint de acesso verificado anexado à instância é mostrado como. `updating` Depois que a solicitação for concluída, o status retornará a `active`. Você pode visualizar o status no Console de gerenciamento da AWS ou descrevendo o endpoint com o. AWS CLI
O provedor de confiança da identidade do usuário determina quando AWS WAF inspeciona o tráfego. Se você usa o IAM Identity Center, AWS WAF inspeciona o tráfego antes da autenticação do usuário. Se você usa o OpenID Connect (OIDC), AWS WAF inspeciona o tráfego após a autenticação do usuário.
**Topics**
+ [Permissões obrigatórias do IAM](#waf-permissions)
+ [Associar uma AWS WAF ACL da web](#associate-web-acl)
+ [Verificar o status atual da associação](#waf-integration-status)
+ [Desassociar uma ACL AWS WAF da web](#disassociate-web-acl)
## Permissões obrigatórias do IAM
A integração AWS WAF com o Acesso Verificado inclui ações somente de permissão que não correspondem diretamente a uma operação de API. Essas ações são indicadas na AWS Identity and Access Management *Referência de autorização de serviço* com `[permission only]`. Consulte [Ações, recursos e chaves de condição do Amazon EC2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2.html) na *Referência de autorização do serviço*.
Para trabalhar com uma ACL da web, seu AWS Identity and Access Management diretor deve ter as seguintes permissões.
+ `ec2:AssociateVerifiedAccessInstanceWebAcl`
+ `ec2:DisassociateVerifiedAccessInstanceWebAcl`
+ `ec2:DescribeVerifiedAccessInstanceWebAclAssociations`
+ `ec2:GetVerifiedAccessInstanceWebAcl`
## Associar uma AWS WAF ACL da web
As etapas a seguir demonstram como associar uma lista de controle de acesso à AWS WAF web (ACL) a uma instância de acesso verificado usando o console de acesso verificado.
**Pré-requisito**
Antes de começar, crie uma AWS WAF Web ACL. Para ter mais informações, consulte [Como criar uma ACL da web](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-creating.html) no *Guia do desenvolvedor do AWS WAF *.
**Para associar uma ACL AWS WAF da web a uma instância de acesso verificado**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado.
1. Selecione a guia **Integrações**.
1. Selecione **Ações** e **Associar Web ACL**.
1. Para **Web ACL**, escolha uma Web ACL existente e, em seguida, escolha **Associar Web** ACL.
Como alternativa, você pode usar o AWS WAF console. Se você usa o AWS WAF console ou a API, precisa do Amazon Resource Name (ARN) da sua instância de acesso verificado. Um ARN do AVA tem o seguinte formato: `arn:${Partition}:ec2:${Region}:${Account}:verified-access-instance/${VerifiedAccessInstanceId}`. Para obter mais informações, consulte [Associar uma ACL da web a um AWS recurso](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-associating.html) no *Guia do AWS WAF desenvolvedor*.
## Verificar o status atual da associação
Você pode verificar se uma lista de controle de acesso à AWS WAF web (ACL) está associada a uma instância de acesso verificado ou não usando o console de acesso verificado.
**Para ver o status da AWS WAF integração com uma instância de acesso verificado**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado.
1. Selecione a guia **Integrações**.
1. Verifique os detalhes listados em **Status de integração do WAF**. O status será mostrado como **Associado** ou **Não associado**, junto com o identificador da Web ACL, se estiver no estado **Associado**.
## Desassociar uma ACL AWS WAF da web
As etapas a seguir demonstram como desassociar uma lista de controle de acesso à AWS WAF web (ACL) de uma instância de acesso verificado usando o console de acesso verificado.
**Para desassociar uma ACL AWS WAF da web de uma instância de acesso verificado**
1. Abra o console da Amazon VPC em [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. No painel de navegação, selecione **Instâncias do Acesso Verificado**.
1. Selecione a instância de Acesso Verificado.
1. Selecione a guia **Integrações**.
1. Escolha **Ações** e, em seguida, **Desassociar Web ACL**.
1. Confirme escolhendo **Desassociar Web ACL**.
Como alternativa, você pode usar o AWS WAF console. Para obter mais informações, consulte [Desassociar uma ACL da web de um AWS recurso](https://docs.aws.amazon.com/waf/latest/developerguide/web-acl-dissociating-aws-resource.html) no Guia do *AWS WAF desenvolvedor*.
# Conformidade com FIPS para Acesso Verificado
O Federal Information Processing Standard (FIPS) é um padrão do governo dos EUA e do Canadá que especifica requisitos de segurança para módulos criptográficos que protegem informações confidenciais. Acesso Verificado pela AWS fornece a opção de configurar seu ambiente para aderir à publicação 140-2 do FIPS. A conformidade com FIPS para acesso verificado está disponível nas seguintes AWS regiões:
+ Leste dos EUA (Ohio)
+ Leste dos EUA (Norte da Virgínia)
+ Oeste dos EUA (N. da Califórnia)
+ Oeste dos EUA (Oregon)
+ Canadá (Central)
+ AWS GovCloud (US) Oeste
+ AWS GovCloud (US) Leste
Esta página mostra como configurar um ambiente novo ou existente de Acesso Verificado para ser compatível com FIPS.
**Topics**
+ [Ambiente existente](#migrate-configuration)
+ [Novo ambiente](#new-configuration)
## Configurar um ambiente de Acesso Verificado existente para conformidade com FIPS
Se você tiver um ambiente de Acesso Verificado existente e quiser configurá-lo para ser compatível com FIPS, alguns dos recursos precisarão ser excluídos e recriados para ativar a conformidade com o FIPS.
Para reconfigurar um Acesso Verificado pela AWS ambiente existente para ser compatível com FIPS, siga as etapas abaixo.
1. Exclua seus endpoints, grupos e instância originais do Acesso Verificado. Seus provedores de confiança configurados podem ser reutilizados.
1. Crie uma instância de Acesso Verificado, certificando-se de ativar o **Federal Information Process Standards (FIPS)** durante a criação. Além disso, durante a criação, anexe o **provedor confiável de Acesso Verificado** que você deseja usar, selecionando-o na lista suspensa.
1. Crie um [grupo](verified-access-groups.md) de Acesso Verificado. Durante a criação do grupo, você o associa à instância de Acesso Verificado recém-criada.
1. Crie um ou mais [Endpoints de Acesso Verificado](verified-access-endpoints.md). Durante a criação dos seus endpoints, você os associa ao grupo criado na etapa anterior.
## Configure um novo ambiente de Acesso Verificado para conformidade com FIPS
Para configurar um novo Acesso Verificado pela AWS ambiente compatível com FIPS, siga as etapas abaixo.
1. Configure um [provedor de confiança](trust-providers.md). Você precisará criar um provedor de confiança de [identidade de usuário](user-trust.md) e (opcionalmente) um provedor de confiança [baseado em dispositivo](device-trust.md), dependendo de suas necessidades.
1. Crie uma [instância](verified-access-instances.md) de Acesso Verificado, certificando-se de ativar o **Federal Information Process Standards (FIPS)** durante o processo. Além disso, durante a criação, anexe o **provedor confiável de Acesso Verificado** que você criou na etapa anterior, selecionando-o na lista suspensa.
1. Crie um [grupo](verified-access-groups.md) de Acesso Verificado. Durante a criação do grupo, você o associa à instância de Acesso Verificado recém-criada.
1. Crie um ou mais [Endpoints de Acesso Verificado](verified-access-endpoints.md). Durante a criação dos seus endpoints, você os associa ao grupo criado na etapa anterior.