Seleccione sus preferencias de cookies

Usamos cookies esenciales y herramientas similares que son necesarias para proporcionar nuestro sitio y nuestros servicios. Usamos cookies de rendimiento para recopilar estadísticas anónimas para que podamos entender cómo los clientes usan nuestro sitio y hacer mejoras. Las cookies esenciales no se pueden desactivar, pero puede hacer clic en “Personalizar” o “Rechazar” para rechazar las cookies de rendimiento.

Si está de acuerdo, AWS y los terceros aprobados también utilizarán cookies para proporcionar características útiles del sitio, recordar sus preferencias y mostrar contenido relevante, incluida publicidad relevante. Para aceptar o rechazar todas las cookies no esenciales, haga clic en “Aceptar” o “Rechazar”. Para elegir opciones más detalladas, haga clic en “Personalizar”.

Preferencias
Contacte con nosotros
Comentarios
AWS Documentation
Cree una cuenta AWS
Asociar una ACL AWS WAF web a su servicio - AWS App Runner
Flujo de solicitudes web entrantesCómo asociar las ACL web de WAF a tu servicio de App RunnerConsideracionesPermisos

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Asociar una ACL AWS WAF web a su servicio

PDF

AWS WAF es un firewall de aplicaciones web que puede usar para proteger su servicio de App Runner. Con AWS WAF las listas de control de acceso a la web (ACL web), puedes proteger los puntos finales del servicio de App Runner contra los ataques web más comunes y los bots no deseados.

Una ACL web te proporciona un control detallado de todas las solicitudes web entrantes a tu servicio de App Runner. Puedes definir reglas en una ACL web para permitir, bloquear o monitorear el tráfico web, a fin de garantizar que solo las solicitudes autorizadas y legítimas lleguen a tus aplicaciones web y API. Puede personalizar las reglas de ACL web en función de sus necesidades empresariales y de seguridad específicas. Para obtener más información sobre la seguridad de la infraestructura y las prácticas recomendadas para aplicar las ACL de red, consulte Control del tráfico de red en la Guía del usuario de Amazon VPC.

importante

Las reglas de IP de origen para los servicios privados de App Runner que están asociadas a las ACL web de WAF no cumplen con las reglas basadas en IP. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de origen de las solicitudes a los servicios privados de App Runner asociados al WAF. Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF.

Flujo de solicitudes web entrantes

Cuando se asocia una ACL AWS WAF web a un servicio de App Runner, las solicitudes web entrantes se someten al siguiente proceso:

  1. App Runner reenvía el contenido de la solicitud de origen a AWS WAF.

  2. AWS WAF inspecciona la solicitud y compara su contenido con las reglas que especificó en su ACL web.

  3. En función de su inspección, AWS WAF devuelve una allow o una block respuesta a App Runner.

    • Si se devuelve una allow respuesta, App Runner reenvía la solicitud a tu aplicación.

    • Si se devuelve una block respuesta, App Runner bloquea la solicitud para que no llegue a tu aplicación web. Reenvía la block respuesta desde AWS WAF tu aplicación.

      nota

      De forma predeterminada, App Runner bloquea la solicitud si no se devuelve ninguna respuesta. AWS WAF

Para obtener más información sobre las ACL AWS WAF web, consulte las listas de control de acceso a la web (ACL web) en la Guía para AWS WAF desarrolladores.

nota

Usted paga un precio estándar AWS WAF . El uso de las ACL AWS WAF web para los servicios de App Runner no implica ningún coste adicional. Para obtener más información sobre los precios, consulta AWS WAF los precios.

Cómo asociar las ACL web de WAF a tu servicio de App Runner

El siguiente es el proceso de alto nivel para asociar una ACL AWS WAF web a su servicio de App Runner:

  1. Cree una ACL web en la AWS WAF consola. Para obtener más información, consulte Creación de una ACL web en la Guía para AWS WAF desarrolladores.

  2. Actualice sus permisos AWS Identity and Access Management (de IAM) para AWS WAF. Para obtener más información, consulte Permisos de ..

  3. Asocie la ACL web al servicio App Runner mediante uno de los siguientes métodos:

    • Consola de App Runner: asocie una ACL web existente mediante la consola de App Runner al crear o actualizar un servicio de App Runner. Para obtener instrucciones, consulte Administrar las ACL AWS WAF web.

    • AWS WAF consola: asocie la ACL web mediante la AWS WAF consola a un servicio de App Runner existente. Para obtener más información, consulte Asociar o desasociar una ACL web a un recurso de AWS en la Guía para desarrolladores de AWS WAF .

    • AWS CLI: Asocie la ACL web mediante las API AWS WAF públicas. Para obtener más información sobre las API AWS WAF públicas, consulte la AssociateWebACL en la Guía de referencia de las AWS WAF API.

Consideraciones

  • Las reglas de IP de origen para los servicios privados de App Runner que están asociadas a las ACL web de WAF no cumplen con las reglas basadas en IP. Esto se debe a que actualmente no admitimos el reenvío de los datos IP de origen de las solicitudes a los servicios privados de App Runner asociados al WAF. Si tu aplicación App Runner requiere reglas de control de tráfico entrante IP/CIDR de origen, debes usar reglas de grupos de seguridad para los puntos finales privados en lugar de las ACL web de WAF.

  • Un servicio de App Runner solo se puede asociar a una ACL web. Sin embargo, puede asociar una ACL web a varios servicios y AWS recursos de App Runner. Algunos ejemplos son los grupos de usuarios de Amazon Cognito y los recursos de Application Load Balancer.

  • Al crear una ACL web, pasa un tiempo hasta que la ACL web se propague por completo y esté disponible para App Runner. El tiempo de propagación puede oscilar entre unos segundos y varios minutos. AWS WAF devuelve a WAFUnavailableEntityException cuando intenta asociar una ACL web antes de que se haya propagado por completo.

    Si actualizas el navegador o sales de la consola de App Runner antes de que la ACL web se propague por completo, la asociación no se produce. Sin embargo, puedes navegar dentro de la consola de App Runner.

  • AWS WAF devuelve un WAFNonexistentItemException error al llamar a una de las siguientes AWS WAF API para un servicio de App Runner cuyo estado no es válido:

    • AssociateWebACL

    • DisassociateWebACL

    • GetWebACLForResource

    Los estados no válidos de tu servicio de App Runner incluyen:

    • CREATE_FAILED

    • DELETE_FAILED

    • DELETED

    • OPERATION_IN_PROGRESS

      nota

      OPERATION_IN_PROGRESSel estado no es válido solo si se va a eliminar tu servicio de App Runner.

  • Tu solicitud podría generar una carga útil superior a los límites de lo que se AWS WAF puede inspeccionar. Para obtener más información sobre cómo AWS WAF gestiona las solicitudes sobredimensionadas de App Runner, consulta la sección Gestión de componentes de solicitudes sobredimensionadas en la Guía para AWS WAF desarrolladores para aprender a gestionar las solicitudes AWS WAF sobredimensionadas de App Runner.

  • Si no estableces las reglas adecuadas o tus patrones de tráfico cambian, es posible que una ACL web no sea tan eficaz para proteger tu aplicación.

Permisos

Para trabajar con una ACL web AWS App Runner, añada los siguientes permisos de IAM para AWS WAF:

  • apprunner:ListAssociatedServicesForWebAcl

  • apprunner:DescribeWebAclForService

  • apprunner:AssociateWebAcl

  • apprunner:DisassociateWebAcl

Para obtener más información sobre los permisos de IAM, consulte Políticas y permisos de IAM en la Guía del usuario de IAM.

El siguiente es un ejemplo de la política de IAM actualizada para. AWS WAF Esta política de IAM incluye los permisos necesarios para trabajar con un servicio de App Runner.

{
  {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "wafv2:ListResourcesForWebACL",
            "wafv2:GetWebACLForResource",
            "wafv2:AssociateWebACL",
            "wafv2:DisassociateWebACL",
            "apprunner:ListAssociatedServicesForWebAcl",
            "apprunner:DescribeWebAclForService",
            "apprunner:AssociateWebAcl",
            "apprunner:DisassociateWebAcl"
         ],
         "Resource":"*"
      }
   ]
}
nota

Si bien debe conceder permisos de IAM, las acciones enumeradas son solo con permisos y no corresponden a una operación de la API.

Tema siguiente:

Gestione las ACL web

Tema anterior:

Rastreo (X-Ray)

¿Necesita ayuda?

PrivacidadTérminos del sitioPreferencias de cookies
© 2025, Amazon Web Services, Inc o sus afiliados. Todos los derechos reservados.