Gestión de la protección de los recursos en AWS Shield Advanced - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Adición de la protección a un recursoConfiguración de proteccionesEliminación de la protección de un recurso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Gestión de la protección de los recursos en AWS Shield Advanced

Utilice las instrucciones de esta sección para administrar las protecciones Shield Advanced de sus recursos.

nota

Shield Advanced protege solo los recursos que haya especificado en Shield Advanced o mediante una política de AWS Firewall Manager Shield Advanced. No protege automáticamente sus recursos.

Si utilizas una política AWS Firewall Manager Shield Advanced, no necesitas gestionar las protecciones de los recursos que están dentro del ámbito de aplicación de la política. Firewall Manager administra automáticamente las protecciones de las cuentas y los recursos que están dentro del ámbito de una política, de acuerdo con la configuración de la política. Para obtener más información, consulte AWS Shield Advanced políticas.

Añadir AWS Shield Advanced protección a AWS los recursos

Sigue las instrucciones de esta sección para añadir la protección Shield Advanced a uno o más recursos.

Para añadir protección a un AWS recurso

  1. Inicie sesión en la AWS Management Console consola AWS WAF & Shield y ábrala en https://console.aws.amazon.com/wafv2/.

  2. En el panel de navegación, AWS Shield seleccione Recursos protegidos.

  3. Seleccione Añadir recursos para proteger.

  4. En la página Elegir los recursos que se protegerán con Shield Advanced, en Especificar la región y los tipos de recursos, proporcione las especificaciones de región y de tipo de recurso de los recursos que desea proteger. Puede proteger los recursos de varias regiones seleccionando Todas las regiones y puede limitar la selección a los recursos globales seleccionando Global. Puede deseleccionar cualquier tipo de recurso que no desee proteger. Para obtener información sobre las protecciones de sus tipos de recursos, consulte AWS Shield Advanced protecciones por tipo de recurso.

  5. Elija Cargar recursos. Shield Advanced rellena la sección Seleccionar recursos con los recursos de AWS que coinciden con sus criterios.

  6. En la sección Seleccionar recursos, puede filtrar la lista de recursos introduciendo una cadena para buscarla en las listas de recursos.

    Seleccione los recursos que desea proteger.

  7. En la sección Etiquetas, si desea agregar etiquetas a las protecciones Shield Advanced que está creando, especifíquelas. Para obtener información acerca de cómo etiquetar los recursos de AWS , consulte Uso de Tag Editor.

  8. Elija Proteger con Shield Advanced. Esto agrega las protecciones de Shield Advanced a los recursos.

Configuración de AWS Shield Advanced las protecciones

Puede cambiar la configuración de sus AWS Shield Advanced protecciones en cualquier momento. Para ello, debe recorrer las opciones de todas las protecciones seleccionadas y modificar la configuración que necesite cambiar.

Administración de recursos protegidos

  1. Inicie sesión en la AWS Management Console consola AWS WAF & Shield y ábrala en https://console.aws.amazon.com/wafv2/.

  2. En el panel AWS Shield de navegación, elija Recursos protegidos.

  3. En la pestaña Protecciones, seleccione los recursos que desea proteger.

  4. Elija Configurar las protecciones y la opción de especificación de recursos que desee.

  5. Revise cada una de las opciones de protección de recursos y realice los cambios necesarios.

Configure las protecciones DDoS en la capa de aplicación

Para protegerse contra los ataques a los recursos de Amazon CloudFront y Application Load Balancer, puede añadir ACL AWS WAF web y reglas basadas en tasas. Para obtener más información acerca de este tema, consulte Shield: ACL AWS WAF web de capa de aplicación avanzada y reglas basadas en tasas.

También puede habilitar la mitigación de DDoS automática de la capa de aplicación de Shield Advanced. Para obtener información sobre cómo AWS WAF funciona, consulte. AWS WAF Para obtener información sobre la característica de mitigación automática, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.

importante

Si administra sus protecciones de Shield Advanced AWS Firewall Manager mediante una política de Shield Advanced, no podrá administrar las protecciones de la capa de aplicación aquí. Para todos los demás recursos, recomendamos que, como mínimo, adjunte una ACL web a cada recurso, incluso si la ACL web no contiene ninguna regla.

nota

Cuando habilita la mitigación automática de DDoS en la capa de aplicación para un recurso, si es necesario, la operación agrega automáticamente un rol vinculado a un servicio a su cuenta para otorgar a Shield Advanced los permisos que necesita para administrar sus protecciones de ACL web. Para obtener más información, consulte Uso de roles vinculados a servicios para Shield Advanced.

Configuración de las protecciones DDoS a nivel de aplicación

  1. En la página Configurar las protecciones DDoS de capa 7, si el recurso aún no está asociado a una ACL web, puede elegir una ACL web existente o crear la suya propia.

    Para crear una ACL web, siga estos pasos:

    1. Elija Create web ACL (Crear ACL web).

    2. Escriba un nombre. No se puede cambiar el nombre después de crear la ACL web.

    3. Seleccione Crear.

    nota

    Si un recurso ya está asociado a una ACL web, no puede cambiar a otra ACL web. Si desea cambiar la ACL, primero debe eliminar las ACL web asociadas del recurso. Para obtener más información, consulte Asociar o desasociar una ACL web a un recurso AWS.

  2. Si la ACL web no tiene definida una regla basada en la velocidad, puede agregar una. Para ello, seleccione Añadir regla basada en tasas y, a continuación, lleve a cabo los siguientes pasos:

    1. Escriba un nombre.

    2. Escriba un límite de frecuencia. Esta es la cantidad máxima de solicitudes permitidas en cualquier período de cinco minutos desde cualquier dirección IP antes de que se aplique la acción de regla basada en tasas a la dirección IP. Cuando las solicitudes de la dirección IP caen por debajo del límite, la acción se interrumpe.

    3. Establezca la acción de regla para contar o bloquear solicitudes de direcciones IP cuando sus recuentos de solicitudes superen el límite. La acción de aplicación y eliminación de la regla puede tener efecto uno o dos minutos después de que cambie la tasa de solicitudes de direcciones IP.

    4. Seleccione Añadir regla.

  3. Para la mitigación automática de DDoS en la capa de aplicaciones, elija si quiere que Shield Advanced mitigue automáticamente los ataques DDoS en su nombre, de la siguiente manera:

    • Para activar la mitigación automática, elija Activar y, a continuación, seleccione la acción de AWS WAF regla que quiere que Shield Advanced utilice en sus reglas personalizadas. Sus opciones son Count y Block. Para obtener información sobre estas acciones de AWS WAF regla, consulteAcción de regla. Para obtener información sobre cómo Shield Advanced administra esta configuración de acción, consulte Cómo Shield Advanced administra la configuración de acciones de las reglas.

    • Para deshabilitar la mitigación automática, seleccione Desactivar.

    • Para dejar la configuración de mitigación automática sin cambios para los recursos que está administrando, deje la opción predeterminada Mantener la configuración actual.

    Para obtener información sobre la mitigación de DDoS automática de la capa de aplicación de Shield Advanced, consulte Mitigación de DDoS de la capa de aplicación automática de Shield Advanced.

  4. Elija Siguiente.

Creación de alarmas y notificaciones

El siguiente procedimiento muestra cómo gestionar CloudWatch las alarmas de los recursos protegidos.

nota

CloudWatch incurre en costes adicionales. Para CloudWatch conocer los precios, consulta Amazon CloudWatch Pricing.

Creación de notificaciones y alarmas de Amazon

  1. En la página de protecciones Crear alarmas y notificaciones de Amazon CloudWatch (opcional), configure los temas de SNS para las alarmas y notificaciones que desea recibir. Para los recursos para los que no desea recibir notificaciones, elija Ningún tema. Puede añadir un tema de Amazon SNS o crear uno nuevo.

  2. Para crear un tema de Amazon SNS, siga estos pasos:

    1. En la lista desplegable, seleccione Crear nuevo tema.

    2. Escriba un nombre de tema.

    3. Opcionalmente, escriba una dirección de correo electrónico a la que se enviarán los mensajes de Amazon SNS y, a continuación, elija Añadir dirección de correo electrónico. Puede introducir más de una.

    4. Seleccione Crear.

  3. Elija Siguiente.

Eliminar AWS Shield Advanced la protección de un AWS recurso

Puede eliminar AWS Shield Advanced la protección de cualquiera de sus AWS recursos en cualquier momento.

importante

Al eliminar un AWS recurso, no se elimina el recurso de AWS Shield Advanced. También debe quitar la protección del recurso AWS Shield Advanced, tal y como se describe en este procedimiento.

Quitar AWS Shield Advanced la protección de un AWS recurso

  1. Inicie sesión en la AWS Management Console consola AWS WAF & Shield y ábrala en https://console.aws.amazon.com/wafv2/.

  2. En el panel AWS Shield de navegación, elija Recursos protegidos.

  3. En la pestaña Protecciones, seleccione los recursos cuyas protecciones desee eliminar.

  4. Elija Eliminar protección.

    1. Si tienes una CloudWatch alarma de Amazon configurada como protección, tienes la opción de eliminar la alarma junto con la protección. Si decides no eliminar la alarma en este momento, puedes eliminarla más adelante mediante la CloudWatch consola.

    nota

    En el caso de las protecciones que tienen configurada una comprobación de estado de Amazon Route 53, si agrega la protección de nuevo más adelante, la protección seguirá incluyendo la comprobación de estado.

Los pasos anteriores eliminan AWS Shield Advanced la protección de AWS recursos específicos. No cancelan tu AWS Shield Advanced suscripción. Se le seguirá cobrando por el servicio. Para obtener información sobre su AWS Shield Advanced suscripción, póngase en contacto con el AWS Support Centro.

Eliminar una CloudWatch alarma de las protecciones Shield Advanced

Para eliminar una CloudWatch alarma de las protecciones Shield Advanced, realice una de las siguientes acciones:

  • Elimine la protección como se describe en Eliminar AWS Shield Advanced la protección de un AWS recurso. Asegúrese de seleccionar la casilla de verificación situada junto a Also delete related DDoSDetection alarm (Eliminar también la alarma de DDoSDetection correspondiente).

  • Elimine la alarma con la CloudWatch consola. El nombre de la alarma que se va a eliminar comienza con DDoS DetectedAlarmForProtection.