**Apresentando uma nova experiência de console para AWS WAF**

Agora você pode usar a experiência atualizada para acessar a AWS WAF funcionalidade em qualquer lugar do console. Para obter mais detalhes, consulte [Trabalhando com o console](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

# Usando AWS WAF políticas com o Firewall Manager
<a name="waf-policies"></a>

Esta seção explica como usar AWS WAF políticas com o Firewall Manager. Em uma AWS WAF política do Firewall Manager, você especifica os grupos de AWS WAF regras que deseja usar para proteger todos os recursos que estão dentro do escopo da política. Quando você aplica a política, o Firewall Manager começa a gerenciar a web ACLs para recursos dentro do escopo, usando os grupos de regras especificados e outras configurações de política. 

Você pode configurar a política para criar e gerenciar todos os novos recursos da Web ACLs para dentro do escopo, substituindo qualquer Web ACLs que já esteja em uso. Como alternativa, você pode configurar a política para manter qualquer web ACLs que já esteja associada a recursos dentro do escopo e adaptá-la para uso pela política. Com essa segunda opção, o Firewall Manager só cria uma nova web ACLs para recursos que ainda não têm uma associação de ACL da web. 

Independentemente de como são criadas, na web ACLs gerenciada pelo Firewall Manager, contas individuais podem gerenciar suas próprias regras e grupos de regras, além dos grupos de regras que você define na política do Firewall Manager. 

Para obter o procedimento para criar uma AWS WAF política do Firewall Manager, consulte[Criação de uma AWS Firewall Manager política para AWS WAF](create-policy.md#creating-firewall-manager-policy-for-waf).

# Gerenciamento de grupos de regras para AWS WAF políticas
<a name="waf-policies-rule-groups"></a>

A web ACLs gerenciada pelas AWS WAF políticas do Firewall Manager contém três conjuntos de regras. Esses conjuntos fornecem um nível mais alto de priorização para as regras e grupos de regras na web ACL: 
+ Primeiros grupos de regras, definidos por você na AWS WAF política do Firewall Manager. AWS WAF avalia esses grupos de regras primeiro.
+ Regras e grupos de regras definidos pelos gerentes de contas na web ACLs. AWS WAF avalia todas as regras ou grupos de regras gerenciados pela conta em seguida. 
+ Últimos grupos de regras, definidos por você na AWS WAF política do Firewall Manager. AWS WAF avalia esses grupos de regras por último.

Dentro de cada um desses conjuntos de regras, AWS WAF avalia as regras e os grupos de regras como de costume, de acordo com suas configurações de prioridade dentro do conjunto.

Nos primeiros e últimos conjuntos de grupos de regras da política, é possível adicionar apenas grupos de regras e não regras individuais. Você pode usar grupos de regras gerenciadas, que as Regras AWS Gerenciadas e AWS Marketplace os vendedores criam e mantêm para você. Também é possível gerenciar e usar seus próprios grupos de regras. Para saber mais sobre todas essas ações, consulte [AWS WAF grupos de regras](waf-rule-groups.md).

Se quiser usar seus próprios grupos de regras, crie esses grupos antes de criar a política do Firewall Manager do AWS WAF . Para obter orientações, consulte [Gerenciar seus próprios grupos de regras](waf-user-created-rule-groups.md). Para usar uma regra personalizada individual, é necessário definir seu próprio grupo de regras, definir a regra nele e, depois, usar o grupo de regras na política.

O primeiro e o último grupos de AWS WAF regras que você gerencia por meio do Firewall Manager têm nomes que começam com `PREFMManaged-` ou`POSTFMManaged-`, respectivamente, seguidos pelo nome da política do Firewall Manager e pelo carimbo de data/hora da criação do grupo de regras, em milissegundos UTC. Por exemplo, .`PREFMManaged-MyWAFPolicyName-1621880555123`

Para obter informações sobre como AWS WAF avalia solicitações da web, consulte[Usando pacotes de proteção (web ACLs) com regras e grupos de regras no AWS WAF](web-acl-processing.md).

O Firewall Manager permite a amostragem e CloudWatch as métricas da Amazon para os grupos de regras que você define para a AWS WAF política. 

Proprietários de contas individuais têm controle total sobre as métricas e a configuração de amostragem de qualquer regra ou grupo de regras que eles adicionem à web ACLs gerenciada da política. 

**nota**  
Se você não tiver uma assinatura dos grupos de regras do AWS WAF Marketplace em sua conta de membro, o Firewall Manager não poderá propagar grupos de regras personalizados ou gerenciados para essa conta.

# Gerenciamento de Web ACL para políticas AWS WAF
<a name="how-fms-manages-web-acls"></a>

O Firewall Manager cria e gerencia a web ACLs para recursos dentro do escopo de acordo com suas configurações e gerenciamento geral de políticas. 

**nota**  
Se um recurso configurado com [mitigação automática avançada da camada DDo S de aplicação](ddos-automatic-app-layer-response.md) por outra política do Firewall Manager Shield entrar no escopo de uma AWS WAF política, em que a ACL da web no recurso foi criada por essa política do Firewall Manager Shield, o Firewall Manager não conseguirá aplicar as proteções da AWS WAF política ao recurso e marcará o recurso como não compatível.  
Se um cliente associar manualmente uma ACL da web de propriedade do cliente ao recurso, a AWS WAF política do Firewall Manager ainda substituirá a ACL da web do cliente pela ACL da web da política do Firewall Manager. AWS WAF 

**Gerencie a configuração da web ACLs não associada**  
Definição de configuração de política que especifica como o Firewall Manager gerencia a web ACLs para contas quando a web ACLs não será usada por nenhum recurso. Se você habilitar o gerenciamento da Web não associada ACLs, o Firewall Manager ACLs criará a Web ACLs em contas que estejam dentro do escopo da política somente se a Web for usada por pelo menos um recurso. Se você não habilitar essa opção, o Firewall Manager garantirá automaticamente que cada conta tenha uma ACL da Web, independentemente de a ACL da Web ser usada. 

Quando isso está habilitado, quando uma conta entrar no escopo da política, o Firewall Manager criará automaticamente uma ACL da Web na conta se pelo menos um recurso usar a ACL da Web. 

Além disso, quando você ativa o gerenciamento da web não associada ACLs, no momento da criação da política, o Firewall Manager executa uma limpeza única da web ACLs não associada em sua conta. Durante essa limpeza, o Firewall Manager ignora qualquer web ACLs que você modificou após sua criação, por exemplo, se você adicionou um grupo de regras à ACL da web ou modificou suas configurações. O processo de limpeza pode levar várias horas. Se um recurso deixar o escopo da política depois que o Firewall Manager criar uma web ACL, o Firewall Manager desassociará o recurso da web ACL, mas não limpará a web ACL não associada. O Firewall Manager só limpa a web não associada ACLs quando você ativa pela primeira vez o gerenciamento da web não associada ACLs em uma política.

Na API, essa configuração está `optimizeUnassociatedWebACL` no tipo [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)de dados. Exemplo: `\"optimizeUnassociatedWebACL\":false`

**Configuração da fonte de ACL da Web: criar todas do zero ou reformar as existentes?**  
Definição de configuração de política que especifica o que o Firewall Manager faz com a web ACLs existente associada a recursos dentro do escopo. 

Por padrão, o Firewall Manager cria toda a nova web ACLs para recursos dentro do escopo. Com a adaptação, o Firewall Manager usa qualquer web existente ACLs que já esteja em uso e só cria uma nova web ACLs para recursos que ainda não tenham uma associada. 

Quando uma política é configurada para adaptação, toda a web ACLs associada a recursos dentro do escopo é adaptada ou marcada como não compatível.

O Firewall Manager só atualiza uma ACL da Web se ela atender aos seguintes requisitos: 
+ A ACL da Web é de propriedade de uma conta de cliente. 
+ A ACL da Web está associada somente a recursos dentro do escopo. 
**dica**  
Antes de configurar uma AWS WAF política para adaptação, certifique-se de que a web ACLs associada aos recursos dentro do escopo da política não esteja associada a nenhum recurso. out-of-scope 
**dica**  
Se quiser excluir um recurso associado, primeiro desassocie todos os recursos da ACL da Web. Se uma ACL da Web não estiver em conformidade devido a uma associação com um out-of-scope recurso, excluir o out-of-scope recurso sem primeiro desassociá-lo da ACL da Web pode colocar a ACL da Web em conformidade, e o Firewall Manager pode então modernizar a ACL da Web por meio de remediação, mas a remediação nessa situação pode ser adiada em até 24 horas. 

Para obter informações sobre como acessar os detalhes da violação de conformidade, consulte [Visualizando as informações de conformidade de uma AWS Firewall Manager política](fms-compliance.md).

Se uma ACL da Web puder ser reformada, o Firewall Manager a modificará da seguinte forma: 
+ O Firewall Manager insere os primeiros grupos de regras da AWS WAF política na frente das regras existentes da ACL da web e anexa os últimos grupos de regras da AWS WAF política no final. Para obter informações sobre o gerenciamento de grupos de regras, consulte [Gerenciamento de grupos de regras para AWS WAF políticas](waf-policies-rule-groups.md).
+ Se a política tiver uma configuração de registro de logs, o Firewall Manager a adicionará à ACL da Web somente se a ACL da Web ainda não estiver configurada para o registro de logs. Se a ACL da Web tiver registro em log configurado pela conta, o Firewall Manager o deixará em vigor durante a readequação e quaisquer atualizações subsequentes na configuração de registro em log da política. 
+ O Firewall Manager não verifica nem configura nenhuma outra propriedade da ACL da Web. Por exemplo, o Firewall Manager não modifica a ação padrão da ACL da Web, os cabeçalhos de solicitação personalizados, as configurações CAPTCHA ou Challenge ou as listas de domínios de tokens. O Firewall Manager só configura essas outras propriedades na web ACLs que o Firewall Manager cria. 

Depois que o Firewall Manager moderniza toda a web associada existente ACLs, para qualquer recurso dentro do escopo que não tenha uma ACL da web, o Firewall Manager manipula o recurso seguindo o comportamento padrão da política. Se for um recurso que AWS WAF pode proteger, o Firewall Manager cria e associa uma Web ACL do Firewall Manager a esse recurso.

Na API, a configuração da fonte da Web ACL está `webACLSource` no tipo de [SecurityServicePolicyData](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_SecurityServicePolicyData.html)dados. Exemplo: `\"webACLSource\":\"RETROFIT_EXISTING\"` 

**Amostragem e métricas CloudWatch**  
AWS Firewall Manager permite a amostragem e CloudWatch as métricas da Amazon para a web ACLs e grupos de regras que ela cria para uma AWS WAF política. 

**Nomenclatura das ACLs da Web**  
Uma ACL da web criada pelo Firewall Manager tem o nome da AWS WAF política da seguinte forma:`FMManagedWebACLV2-policy name-timestamp`. O timestamp em milissegundos UTC. Por exemplo, .`FMManagedWebACLV2-MyWAFPolicyName-1621880374078`

Uma ACL da Web que o Firewall Manager atualiza tem o nome que a conta do cliente especificou na criação. O nome da ACL da Web não pode ser modificado depois da criação.

**nota**  
Se um recurso configurado com [mitigação automática avançada da camada DDo S do aplicativo](ddos-automatic-app-layer-response.md) entrar no escopo de uma AWS WAF política, o Firewall Manager não conseguirá associar a Web ACL criada pela AWS WAF política ao recurso.

# Registro de uma AWS WAF política
<a name="waf-policies-logging-config"></a>

Você pode ativar o registro centralizado de suas AWS WAF políticas para obter informações detalhadas sobre o tráfego que é analisado pela sua ACL da web em sua organização. AWS Firewall Manager suporta essa opção para AWS WAFV2, não para AWS WAF Classic.

As informações nos registros incluem a hora em que AWS WAF recebeu a solicitação do seu AWS recurso protegido, informações detalhadas sobre a solicitação e a ação da regra em que cada solicitação correspondeu de todas as contas dentro do escopo. Para obter informações sobre AWS WAF registro, consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md) o *Guia do AWS WAF desenvolvedor*.

Você pode enviar seus logs para um fluxo de dados do Amazon Data Firehose ou bucket do Amazon Simple Storage Service (S3). Cada tipo de destino requer alguma configuração adicional para que o Firewall Manager possa gerenciar o AWS WAF registro em todos os recursos e contas dentro do escopo. As seções a seguir fornecem mais detalhes. 

Se a política tiver a adaptação da ACL da web ativada, o Firewall Manager não substituirá nenhuma configuração de registro em vigor na web existente. ACLs Para obter informações sobre a adaptação, consulte as informações de configuração da fonte da ACL da Web em [Gerenciamento de Web ACL para políticas AWS WAF](how-fms-manages-web-acls.md).

**nota**  
Apenas modifique ou desative o registro de logs das políticas do Firewall Manager por meio da interface do Firewall Manager. Se você usar AWS WAF para atualizar ou excluir a configuração de registro de uma Web ACL gerenciada pelo Firewall Manager, o Firewall Manager não detectará a alteração automaticamente. Se você já usou AWS WAF, você pode solicitar manualmente uma atualização da AWS WAF política do Firewall Manager reavaliando a regra da política em. AWS Config Para fazer isso, no AWS Config console, localize a AWS Config regra para a política do Firewall Manager e selecione a ação de reavaliação. 

**Topics**
+ [Destinos de logs](waf-policies-logging-destinations.md)
+ [Habilitando o registro de uma AWS WAF política no Firewall Manager](waf-policies-enabling-logging.md)
+ [Desabilitando o registro de uma AWS WAF política no Firewall Manager](waf-policies-disabling-logging.md)

# Destinos de logs
<a name="waf-policies-logging-destinations"></a>

Esta seção descreve os destinos de registro que você pode escolher para enviar seus registros AWS WAF de políticas. Cada seção fornece orientações para configurar os logs para o tipo de destino e informações sobre qualquer comportamento específico para o tipo de destino. Depois de configurar seu destino de registro, você pode fornecer suas especificações à AWS WAF política do Firewall Manager para começar a fazer login nele.

O Firewall Manager não tem visibilidade das falhas de log depois de criar a configuração de registro em log. É sua responsabilidade verificar se a entrega de logs está funcionando conforme o esperado.

O Firewall Manager não modifica nenhuma configuração de registro em log existente nas contas dos membros da sua organização. 

**Topics**
+ [Fluxos de dados do Amazon Data Firehose](#waf-policies-logging-destinations-kinesis-data-firehose)
+ [Buckets do Amazon Simple Storage Service](#waf-policies-logging-destinations-s3)

## Fluxos de dados do Amazon Data Firehose
<a name="waf-policies-logging-destinations-kinesis-data-firehose"></a>

Este tópico fornece informações para enviar seus logs de tráfego de ACL da Web para um fluxo de dados do Amazon Data Firehose.

Quando você ativa o registro no Amazon Data Firehose, o Firewall Manager envia registros da web da sua política ACLs para um Amazon Data Firehose onde você configurou um destino de armazenamento. Depois de ativar o registro, AWS WAF entrega os registros para cada Web ACL configurada, por meio do endpoint HTTPS do Kinesis Data Firehose, até o destino de armazenamento configurado. Antes de usá-lo, teste seu streaming de entrega para ter certeza de que ele tem throughput suficiente para acomodar os logs da sua organização. Para saber mais sobre como criar um Amazon Kinesis Data Firehose e analisar os logs armazenados, consulte [O que é o Amazon Data Firehose?](https://docs.aws.amazon.com/firehose/latest/dev/what-is-this-service.html)

Você deve ter as seguintes permissões para habilitar o registro em log com êxito com um Kinesis:
+ `iam:CreateServiceLinkedRole`
+ `firehose:ListDeliveryStreams`
+ `wafv2:PutLoggingConfiguration`

Quando você configura um destino de registro do Amazon Data Firehose em uma AWS WAF política, o Firewall Manager cria uma ACL da web para a política na conta do administrador do Firewall Manager da seguinte forma: 
+ O Firewall Manager cria a web ACL na conta do administrador do Firewall Manager, independentemente de a conta estar ou não no escopo da política.
+ A web ACL tem o registro em logs ativado, com um nome de log `FMManagedWebACLV2-Loggingpolicy name-timestamp`, em que o timestamp é a hora UTC em que o log foi ativado para a web ACL, em milissegundos. Por exemplo, .`FMManagedWebACLV2-LoggingMyWAFPolicyName-1621880565180` A web ACL não tem grupos de regras nem recursos associados. 
+ Você é cobrado pela ACL da web de acordo com as diretrizes AWS WAF de preços. Para obter mais informações, consulte [AWS WAF Preço](https://aws.amazon.com/waf/pricing/). 
+ O Firewall Manager exclui a web ACL quando você exclui a política. 

Para obter mais informações sobre funções vinculadas ao serviço e a permissão do `iam:CreateServiceLinkedRole`, consulte [Usando funções vinculadas a serviços para AWS WAF](using-service-linked-roles.md).

Para saber mais sobre como criar seu fluxo de entrega, consulte [Criar um fluxo de entrega do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).

## Buckets do Amazon Simple Storage Service
<a name="waf-policies-logging-destinations-s3"></a>

Este tópico fornece informações para enviar seus logs de tráfego da web ACL para um bucket do Amazon S3.

O bucket que você escolher como destino de registro em log deve pertencer a uma conta de administrador do Firewall Manager. Para obter informações sobre os requisitos para criar seu bucket do Amazon S3 para requisitos de registro em log e nomenclatura de buckets, consulte [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) no *Guia do desenvolvedor AWS WAF *.

**Consistência eventual**  
Quando você faz alterações AWS WAF nas políticas configuradas com um destino de registro do Amazon S3, o Firewall Manager atualiza a política do bucket para adicionar as permissões necessárias para o registro. Ao fazer isso, o Firewall Manager segue os modelos de last-writer-wins semântica e consistência de dados que o Amazon Simple Storage Service segue. Se você fizer simultaneamente várias atualizações de políticas em um destino do Amazon S3 no console do Firewall Manager ou por meio [PutPolicy](https://docs.aws.amazon.com/fms/2018-01-01/APIReference/API_PutPolicy.html)da API, algumas permissões podem não ser salvas. Para saber mais sobre modelo de consistência de dados do Amazon S3, consulte [Modelo de consistência de dados do Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Welcome.html#ConsistencyModel) no *Guia do usuário do Amazon Simple Storage Service*.

### Permissões para publicar logs em um bucket do Amazon S3
<a name="waf-policies-logging-s3-permissions"></a>

Configurar o registro de tráfego de ACL da web para um bucket do Amazon S3 em AWS WAF uma política requer as seguintes configurações de permissões. O Firewall Manager atribui automaticamente essas permissões ao seu bucket do Amazon S3 quando você configura o Amazon S3 como seu destino de registro em log para dar ao serviço permissão para publicar registros em log no bucket. Se você quiser gerenciar um acesso mais refinado aos seus recursos de registro em log e do Firewall Manager, você mesmo pode definir essas permissões. Para obter mais informações sobre gerenciamento de permissões, consulte [Gerenciamento de acesso para recursos da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) no *Guia do usuário do IAM*. Para obter informações sobre as políticas AWS WAF gerenciadas, consulte[AWS políticas gerenciadas para AWS WAF](security-iam-awsmanpol.md). 

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Id": "AWSLogDeliveryForFirewallManager",
    "Statement": [
        {
            "Sid": "AWSLogDeliveryAclCheckFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:GetBucketAcl",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix"
        },
        {
            "Sid": "AWSLogDeliveryWriteFMS",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": "s3:PutObject",
            "Resource": "arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
            "Condition": {
                "StringEquals": {
                    "s3:x-amz-acl": "bucket-owner-full-control"
                }
            }
        }
    ]
}
```

------

Para evitar problema de “confused deputy” entre serviços, você pode adicionar as chaves de contexto de condição global [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) e as chaves de contexto à política do seu bucket. Para adicionar essas chaves, você pode modificar a política que o Firewall Manager cria para você ao configurar o destino do registro em log ou, se quiser um controle refinado, pode criar sua própria política. Se você adicionar essas condições à sua política de destino de registro em log, o Firewall Manager não validará nem monitorará as proteções de “confused deputy”. Para obter mais informações sobre o problema de “confused deputy”, consulte [O problema de “confused deputy”](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html), no *Guia do usuário do IAM*. 

Quando você adiciona a `sourceAccount` às propriedades `sourceArn` de adição, isso aumenta o tamanho da política do bucket. Se você estiver adicionando uma longa lista de `sourceAccount` às propriedades `sourceArn` de adição, tome cuidado para não exceder a cota de [tamanho da política de bucket](https://docs.aws.amazon.com/general/latest/gr/s3.html#limits_s3) do Amazon S3.

O exemplo a seguir mostra como evitar o problema de “confused deputy” usando as chaves de contexto de condição globais `aws:SourceArn` e `aws:SourceAccount` na política do seu bucket. *member-account-id*Substitua pela conta IDs dos membros da sua organização.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Id":"AWSLogDeliveryForFirewallManager",
   "Statement":[
      {
         "Sid":"AWSLogDeliveryAclCheckFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:GetBucketAcl",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix",
         "Condition":{
            "StringEquals":{
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      },
      {
         "Sid":"AWSLogDeliveryWriteFMS",
         "Effect":"Allow",
         "Principal":{
            "Service":"delivery.logs.amazonaws.com"
         },
         "Action":"s3:PutObject",
         "Resource":"arn:aws:s3:::aws-waf-logs-amzn-s3-demo-destination-bucket-suffix/policy-id/AWSLogs/*",
         "Condition":{
            "StringEquals":{
               "s3:x-amz-acl":"bucket-owner-full-control",
               "aws:SourceAccount":[
               "111122223333",
               "444455556666"
               ]
            },
            "ArnLike":{
               "aws:SourceArn":[
               "arn:aws:logs:*:111122223333:*",
               "arn:aws:logs:*:444455556666:*"
               ]
            }
         }
      }
   ]
}
```

------

#### Criptografia no lado do servidor de bucket do Amazon S3
<a name="waf-policies-logging-s3-kms-permissions"></a>

Você pode habilitar a criptografia do lado do servidor do Amazon S3 ou usar uma chave gerenciada pelo AWS Key Management Service cliente em seu bucket do S3. Se você optar por usar a criptografia padrão do Amazon S3 em seu bucket do Amazon S3 AWS WAF para registros, não precisará realizar nenhuma ação especial. No entanto, se você optar por usar uma chave de criptografia fornecida pelo cliente para criptografar seus dados do Amazon S3 em repouso, você deve adicionar a seguinte declaração de permissão à sua política de chaves: AWS Key Management Service 

```
{
            "Sid": "Allow Logs Delivery to use the key",
            "Effect": "Allow",
            "Principal": {
                "Service": "delivery.logs.amazonaws.com"
            },
            "Action": [
                "kms:Encrypt",
                "kms:Decrypt",
                "kms:ReEncrypt*",
                "kms:GenerateDataKey*",
                "kms:DescribeKey"
            ],
            "Resource": "*"
}
```

Para obter mais informações sobre o uso de chaves de criptografia fornecidas pelo cliente com o Amazon S3, consulte [Usando criptografia do lado do servidor com chaves fornecidas pelo cliente (SSE-KMS)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerSideEncryptionCustomerKeys.html) no *Guia do usuário do Amazon Simple Storage Service*.

# Habilitando o registro de uma AWS WAF política no Firewall Manager
<a name="waf-policies-enabling-logging"></a>

O procedimento a seguir descreve como habilitar o registro em log para uma AWS WAF política no console do Firewall Manager.

**Para habilitar o registro em log para uma AWS WAF política**

1. Antes de habilitar o registro em log, você deve configurar seus recursos de destino de registro em log da seguinte forma:
   + **Amazon Kinesis Data Streams**: crie um Amazon Data Firehose usando sua conta de administrador do Firewall Manager. Use um nome que comece com o prefixo `aws-waf-logs-`. Por exemplo, .`aws-waf-logs-firewall-manager-central` Crie o Data Firehose com uma origem `PUT` e na região em que você está operando. Se você estiver capturando registros para a Amazon CloudFront, crie a mangueira de incêndio no Leste dos EUA (Norte da Virgínia). Antes de usá-lo, teste seu streaming de entrega para ter certeza de que ele tem throughput suficiente para acomodar os logs da sua organização. Para saber mais, consulte [Criar um fluxo de entrega do Amazon Data Firehose](https://docs.aws.amazon.com/firehose/latest/dev/basic-create.html).
   + **Buckets do Amazon Simple Storage Service**: crie um bucket do Amazon S3 de acordo com as diretrizes do tópico [Amazon Simple Storage Service](https://docs.aws.amazon.com/waf/latest/developerguide/logging-s3.html) no *Guia do desenvolvedor da AWS WAF *. Você também deve configurar seu bucket do Amazon S3 com as permissões listadas em [Permissões para publicar logs em um bucket do Amazon S3](waf-policies-logging-destinations.md#waf-policies-logging-s3-permissions).

1. Faça login no Console de gerenciamento da AWS usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager em[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).
**nota**  
Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).

1. No painel de navegação, escolha **Políticas de segurança**.

1. Escolha a AWS WAF política para a qual você deseja habilitar o registro. Para saber mais sobre registro em log do AWS WAF , consulte [Registrando o tráfego do pacote de AWS WAF proteção (Web ACL)](logging.md).

1. Na guia **Detalhes da política**, na seção **Regras da política**, escolha **Editar**. 

1. Em **Configuração de registro em log**, escolha **Ativar registro em log** para ativar o registro em log. O registro em log fornece informações detalhadas sobre o tráfego que é analisado pela sua web ACL. Escolha o **Destino de registro em log** e, em seguida, escolha o destino de registro em log que você configurou. Você deve escolher um destino de registro em log cujo nome comece com `aws-waf-logs-`. Para obter informações sobre como configurar um destino de AWS WAF registro, consulte[Usando AWS WAF políticas com o Firewall Manager](waf-policies.md).

1. (Opcional) Se você não deseja que determinados campos e seus valores sejam incluídos nos logs, edite esses campos. Selecione o campo para editar e, em seguida, selecione **Adicionar**. Repita conforme necessário para editar campos adicionais. Os campos editados são exibidos como `REDACTED` nos logs. Por exemplo, se você editar o campo **URI**, o campo **URI** nos logs será `REDACTED`. 

1. (Opcional) Se você não quiser enviar todas as solicitações para os logs, adicione seus critérios e comportamento de filtragem. Em **Filtrar logs**, para cada filtro que você deseja aplicar, escolha **Adicionar filtro**, escolha seus critérios de filtragem e especifique se deseja manter ou eliminar solicitações que correspondam aos critérios. Ao terminar de adicionar filtros, se necessário, modifique o **Comportamento de registro de logs padrão**. Para saber mais, consulte [Encontrar os registros do pacote de proteção (ACL da Web)](logging-management.md) no *Guia do desenvolvedor do AWS WAF *.

1. Escolha **Próximo**.

1. Revise as configurações e escolha **Salvar** para salvar suas alterações na política.

# Desabilitando o registro de uma AWS WAF política no Firewall Manager
<a name="waf-policies-disabling-logging"></a>

O procedimento a seguir descreve como desabilitar o registro de uma AWS WAF política no console do Firewall Manager.

**Para desativar o registro em log de uma AWS WAF política**

1. Faça login no Console de gerenciamento da AWS usando sua conta de administrador do Firewall Manager e abra o console do Firewall Manager em[https://console.aws.amazon.com/wafv2/fmsv2](https://console.aws.amazon.com/wafv2/fmsv2). Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).
**nota**  
Para saber mais sobre a configuração de uma conta de administrador do Firewall Manager, consulte [AWS Firewall Manager pré-requisitos](fms-prereq.md).

1. No painel de navegação, escolha **Políticas de segurança**.

1. Escolha a AWS WAF política para a qual você deseja desativar o registro.

1. Na guia **Detalhes da política**, na seção **Regras da política**, escolha **Editar**. 

1. Em **Status da configuração de registro em log**, escolha **Desativado**.

1. Escolha **Próximo**.

1. Revise as configurações e escolha **Salvar** para salvar suas alterações na política.

**nota**  
Apenas modifique ou desative o registro de logs das políticas do Firewall Manager por meio da interface do Firewall Manager. Se você usar AWS WAF para atualizar ou excluir a configuração de registro de uma Web ACL gerenciada pelo Firewall Manager, o Firewall Manager não detectará a alteração automaticamente. Se você já usou AWS WAF, você pode solicitar manualmente uma atualização da AWS WAF política do Firewall Manager reavaliando a regra da política em. AWS Config Para fazer isso, no AWS Config console, localize a AWS Config regra para a política do Firewall Manager e selecione a ação de reavaliação.