如何從 AWS WAF Classic 移轉至 AWS WAF，而移轉期的停機時間又是多久？

解決方法

**注意：**開始移轉之前，請參閱移轉注意事項和限制。

使用下列其中一個選項，從 AWS WAF Classic 移轉至 AWS WAF。

手動移轉

使用手動移轉進行簡單的 AWS WAF 部署。手動移轉會在 AWS WAF 中重新建立 AWS WAF Classic 資源。直到移轉完成為止，移轉可能會導致請求處理不一致的情形。

若要執行手動移轉，請完成下列作業：

1. 設定 AWS WAF。
2. 完成移轉 Web ACL：轉換中的步驟。
3. 檢閱新的 Web 存取控制清單 (Web ACL)，並視需要更新其組態。

AWS WAF 安全自動化 (自動化)

使用 AWS WAF 的安全自動化功能，自動移轉至 AWS WAF。此解決方案使用 AWS CloudFormation。然後，將新的 Web ACL 與支援的資源相關聯，例如：

• Amazon CloudFront 發行版本
• Amazon API Gateway REST API
• Application Load Balancer
• AWS AppSync GraphQL API
• Amazon Cognito 使用者集區
• AWS App Runner 服務
• AWS Verified Access 執行個體

此移轉程序不涉及停機時間。最佳做法是在生產中實作規則之前，測試和調整 AWS WAF 保護措施。

**注意：**當您使用 AWS WAF 的安全自動化功能從 AWS WAF Classic 移轉時，您不得使用 AWS WAF Classic 移轉精靈。如需其他資訊，請參閱移轉注意事項和限制。

若要使用 AWS WAF 的安全自動化來部署新的 Web ACL，請完成下列步驟：

1. 開啟 AWS WAF 的安全自動化。
2. 在 Deployment options (部署選項) 下，選擇Launch in the AWS Console (在 AWS Console 中啟動)。
3. 對於 Region (區域)，選擇您要在其中建立 AWS WAF 資源的 AWS 區域。
4. 對於 Create stack (建立堆疊) 使用預設設定，然後選擇 Next (下一步)。
5. 輸入堆疊名稱，然後選擇適用於使用案例的參數。如需有關參數的資訊，請參閱步驟 1.啟動堆疊。
   注意：您必須選擇與目前在 AWS WAF Classic 中的資源相符的端點類型。如果您使用 API 閘道 REST API 或 Application Load Balancer，請選擇 ALB。
6. 選擇 Next (下一步)。
7. (選擇性) 設定堆疊選項或使用預設設定。然後，選擇 Next (下一步)。
8. 檢閱您的組態。然後，確認 CloudFormation 將在您的帳戶中建立 AWS Identity and Access Management (IAM) 資源。
9. 選擇 Create Stack (建立堆疊)。

CloudFormation 隨即建立新堆疊，其中包含安全自動化所需的所有資源，包括新的 AWS WAF Web ACL。

**注意：**新的 Web ACL 不會自動與任何 AWS 資源相關聯。

若要完成移至 AWS WAF 的移轉，您必須手動將 AWS WAF Web ACL 與 AWS 資源相關聯。此流程會自動取消 AWS 資源與 AWS WAF Classic Web ACL 的關聯。將資源與新的 AWS WAF Web ACL 相關聯後，Web ACL 的規則會檢查傳入的請求。

移轉至 AWS WAF 後，最佳做法是檢閱新的 Web ACL 並根據需要更新其組態。

**注意：**您可能需要手動重新建立無法自動移轉的現有規則。如需詳細資訊，請參閱移轉 Web ACL：手動跟進。

AWS WAF Classic 移轉精靈 (自動化)

使用 AWS WAF Classic 移轉精靈，自動將現有的 AWS WAF Classic 資源移轉到 AWS WAF。在部分情況下，您不得使用 AWS WAF Classic 移轉精靈。如需詳細資訊，請參閱移轉注意事項和限制。

此移轉程序不涉及停機時間。最佳做法是在生產中實作規則之前，測試和調整 AWS WAF 保護措施。

若要使用 AWS WAF Classic 移轉精靈來部署新的 Web ACL，請完成下列步驟：

1. 開啟 AWS WAF 主控台。
2. 在導覽窗格中，選擇切換至 AWS WAF Classic。
3. 在導覽窗格中選擇 Web ACLs，然後選擇 Migration Wizard (移轉精靈)。
4. 對於 Web ACL，請選擇您要在其中建立 AWS WAF 資源的區域。然後，選擇要移轉的 AWS WAF Classic Web ACL。
5. 對於 Migration configuration (移轉組態)，選擇 Create new (新建)。這會建立 CloudFormation 在移轉期間使用的新 S3 儲存貯體。
   注意：S3 儲存貯體必須與 Web ACL 位於相同的區域，其名稱必須以字首 aws-waf-migration- 開頭。
   最佳做法是使用自動套用移轉所需的儲存貯體政策，以避免權限問題。
6. 對於 Choose how to handle rules that can't be migrated (選擇如何處理無法移轉的規則)，選擇最符合您需求的選項。
   **注意：**最佳做法是使用 Exclude rules that can't be migrated (排除無法移轉的規則) 來繼續移轉。但是，您必須手動建立無法自動移轉的規則。
7. 選擇 Next (下一步)。
8. 選擇 Start creating CloudFormation template (開始建立 CloudFormation 範本)。
9. 選擇 Create CloudFormation Stack (建立 CloudFormation 堆疊)。
10. 對於 Create stack (建立堆疊) 使用預設設定，然後選擇 Next (下一步)。
11. 輸入堆疊名稱，然後選擇適用於使用案例的參數。如需有關參數的資訊，請參閱步驟 1.啟動堆疊。
    注意：您必須選擇與目前在 AWS WAF Classic 中的資源相符的端點類型。如果您使用 API 閘道 REST API 或 Application Load Balancer，請選擇 ALB。
12. 選擇 Next (下一步)。
13. (選擇性) 設定堆疊選項或使用預設設定。然後，選擇 Next (下一步)。
14. 檢閱您的組態，然後選擇 Create Stack (建立堆疊)。

CloudFormation 會建立新堆疊，其中會包含從 AWS WAF Classic 移轉的所有資源，包括新的 AWS WAF Web ACL。

**注意：**新的 Web ACL 不會自動與任何 AWS 資源相關聯。

若要完成移至 AWS WAF 的移轉，您必須手動將 AWS WAF Web ACL 與 AWS 資源相關聯。此流程會自動取消 AWS 資源與 AWS WAF Classic Web ACL 的關聯。將資源與新的 AWS WAF Web ACL 相關聯後，Web ACL 的規則會檢查傳入的請求。

移轉至 AWS WAF 後，最佳做法是檢閱新的 Web ACL 並根據需要更新其組態。

**注意：**您可能需要手動重新建立無法自動移轉的現有規則。如需詳細資訊，請參閱移轉 Web ACL：手動跟進。

相關資訊

將您的規則從 AWS WAF Classic 移轉到新的 AWS WAF