Como faço para migrar do AWS WAF Classic para o AWS WAF e qual é o tempo de inatividade durante a migração?
Quero migrar minha atual implantação do AWS WAFClassic para o AWS WAF. Como posso fazer isso? Há tempo de inatividade envolvido na migração?
Breve descrição
Há três opções para migrar do AWS WAF Classic para o AWS WAF:
- Migração manual
- Automatizada usando a automação de segurança do AWS WAF
- Automatizada usando o assistente de migração do AWS WAF Classic
Importante: antes de iniciar a migração, consulte Migration caveats and limitations (Advertências e limitações da migração).
Resolução
Migração manual
As migrações manuais são adequadas para implantações simples do AWS WAF. Uma migração manual está recriando recursos do AWS WAF Classic usando o AWS WAF. A mudança da associação da ACL da Web do AWS WAF Classic para a nova ACL da Web do AWS WAF pode causar uma breve interrupção.
Para realizar uma migração manual, faça o seguinte:
- Para criar uma nova implantação do AWS WAF, consulte Getting started with AWS WAF (Conceitos básicos do AWS WAF).
- Conclua as etapas em Migrating a web ACL: switchover (Migrando uma ACL da Web: alternância).
- Consulte Migrating a web ACL: additional considerations (Migraro de uma ACL da Web: considerações adicionais) para otimizar a nova implantação do AWS WAF.
Migração da automatização de segurança do AWS
Use a automação de segurança do AWS WAF para migrar automaticamente para o AWS WAF usando o AWS CloudFormation. Depois, associe a nova ACL da Web a um recurso compartível, como:
- Distribuição do Amazon CloudFront
- API REST do Amazon API Gateway
- Application Load Balancer (ALB)
- API GraphQL do AWS AppSync
Não há tempo de inatividade envolvido nesse processo de migração. É uma prática recomendada testar e ajustar as proteções do AWS WAF antes de implementar regras na produção.
Importante: ao migrar uma implantação do AWS WAF Classic criada pela automação de segurança do AWS WAF, você não deve usar o assistente de migração do AWS WAF Classic. Para obter informações adicionais, consulte Migration caveats and limitations. (Advertências e limitações de migração).
Para implantar uma nova ACL da Web usando a automação de segurança do AWS WAF, faça o seguinte:
- Abra a página AWS WAF Automation on AWS (Automação do AWS WAF na AWS).
- Navegue até AWS Solution overview (Visão geral da solução da AWS).
- Escolha Launch in the AWS Console (Iniciar no Console da AWS) no lado direito do diagrama.
- Em Region (Região), escolha a região da AWS onde você deseja criar seus recursos do AWS WAF.
- Em Create stack (Criar pilha), use as configurações padrão e escolha Next (Avançar).
- Insira um nome de pilha e escolha os parâmetros para o caso de uso. Para obter informações sobre parâmetros, consulte Launch a stack (Iniciar uma pilha).
Importante: certifique-se de escolher o tipo de endpoint correto. O tipo deve corresponder ao recurso que você está usando atualmente no AWS WAF Classic. Se você estiver usando a API REST do Amazon API Gateway ou o Application Load Balancer, escolha ALB. - Escolha Next (Avançar).
- (Opcional) Configure as opções de pilha ou use as configurações padrão. Depois, selecione Next (Avançar).
- Revise sua configuração. Depois, reconheça que o CloudFormation criará recursos do AWS Identity and Access Management (IAM) em sua conta.
- Escolha Create Stack (Criar pilha).
O CloudFormation cria uma nova pilha com todos os recursos necessários para a automação de segurança da AWS, incluindo uma nova ACL da Web do AWS WAF.
Importante: a nova ACL da Web do AWS WAF não é associada automaticamente a nenhum recurso da AWS.
Para concluir a migração para o AWS WAF, você deve associar manualmente a ACL da Web do AWS WAF ao recurso da AWS. Esse processo desassocia automaticamente o recurso da AWS da ACL da Web do AWS WAF Classic. Depois que um recurso é associado a essa ACL da Web do AWS WAF, as solicitações são inspecionadas pelas regras na nova ACL da Web do AWS WAF.
Depois de migrar com êxito para o AWS WAF, é uma prática recomendada revisar Migrating a web ACL: additional considerations (Migrar uma ACL da Web: considerações adicionais) para otimizar a nova implantação do AWS WAF.
Observação: talvez seja necessário recriar manualmente as regras existentes que não possam ser migradas automaticamente. Para obter mais informações, consulte Migrating a web ACL: manual follow-up (Migrando uma ACL da Web: acompanhamento manual).
Migração automatizada usando o assistente de migração do AWS WAF Classic
Use o assistente de migração do AWS WAF Classic para migrar automaticamente os recursos existentes do AWS WAF Classic para o AWS WAF. Há casos em que a migração do AWS WAF Classic não deve ser usada. Para obter mais informações, consulte Migration caveats and limitations (Advertências e limitações de migração).
Não há tempo de inatividade envolvido nesse processo de migração. É uma prática recomendada testar e ajustar as proteções do AWS WAF antes de implementar regras na produção.
Para implantar uma nova ACL da Web usando o assistente de migração automatizado do AWS WAF Classic, faça o seguinte:
- Abra o console do AWS WAF.
- No painel de navegação, escolha Switch to AWS WAF Classic (Alternar para o AWS WAF Classic).
- No painel de navegação, selecione Web ACLs (ACLs da Web).
- Na parte superior da página principal, escolha o migration wizard (assistente de migração).
- Em Web ACL (ACL da Web), escolha a região da AWS onde você deseja criar os recursos do AWS WAF. Depois, escolha a ACL da Web do AWS WAF Classic que você deseja migrar.
- Em Migration configuration (Configuração de migração), escolha Create new (Criar novo) para criar um novo bucket do S3 a ser usado pelo CloudFormation durante a migração. Observação: o bucket do S3 deve estar na mesma região que a ACL da Web e seu nome deve começar com o prefixo aws-waf-migration-.
É uma prática recomendada usar a Aplicação automática da política de bucket necessária para a migração para evitar problemas de permissão.
Escolha a opção preferida para Choose how to handle rules that can't be migrated (Escolher como lidar com regras que não podem ser migradas).
Observação: é uma prática recomendada usar Exclude rules that can't be migrated (Excluir regras que não podem ser migradas) para continuar a migração. Porém, você deve criar manualmente as regras que não puderem ser migradas automaticamente quando a migração for concluída. - Escolha Next (Avançar).
- Escolha Start creating CloudFormation template (Começar a criar modelo do CloudFormation).
- Escolha Create CloudFormation Stack (Criar pilha do CloudFormation) para iniciar a implantação da pilha do AWS WAF CloudFormation.
- Em Create stack (Criar pilha), use as configurações padrão e escolha Next (Avançar).
- Insira um nome de pilha e escolha os parâmetros para o caso de uso. Para obter informações sobre parâmetros, consulte Launch a stack (Iniciar uma pilha).
Importante: certifique-se de escolher o tipo de endpoint correto. O tipo deve corresponder ao recurso que você está usando atualmente no AWS WAF Classic. Se você estiver usando a API REST do Amazon API Gateway ou o Application Load Balancer, escolha ALB. - Escolha Next (Avançar).
- (Opcional) Configure as opções de pilha ou use as configurações padrão. Depois, selecione Next (Avançar).
- Revise a configuração e escolha Create Stack (Criar pilha).
O CloudFormation cria uma nova pilha com todos os recursos migrados do AWS WAF Classic, incluindo uma nova ACL da Web do AWS WAF.
Importante: a nova ACL da Web do AWS WAF não é associada automaticamente a nenhum recurso da AWS.
Para concluir a migração para o AWS WAF, você deve associar manualmente a ACL da Web do AWS WAF ao recurso da AWS. Esse processo desassocia automaticamente o recurso da AWS da ACL da Web do AWS WAF Classic. Depois que um recurso é associado a essa ACL da Web do AWS WAF, as solicitações são inspecionadas pelas regras na nova ACL da Web do AWS WAF.
Depois de migrar com êxito para o AWS WAF, é uma prática recomendada revisar Migrating a web ACL: additional considerations (Migrar uma ACL da Web: considerações adicionais) para otimizar a nova implantação do AWS WAF.
Observação: talvez seja necessário recriar manualmente as regras existentes que não puderam ser migradas automaticamente. Para obter mais informações, consulte Migrating a web ACL: manual follow-up (Migrando uma ACL da Web: acompanhamento manual).
Informações relacionadas
Conteúdo relevante
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 2 anos
- AWS OFICIALAtualizada há 9 meses