Paso 2: Crear y aplicar una AWS WAF política

Una AWS WAF política de Firewall Manager contiene los grupos de reglas que desea aplicar a sus recursos. Firewall Manager crea una ACL web de Firewall Manager en cada cuenta en la que se aplica la política. Los administradores de cuentas individuales pueden agregar reglas y grupos de reglas a la ACL web resultante, además de los grupos de reglas que defina aquí. Para obtener información sobre AWS WAF las políticas de Firewall Manager, consulteAWS WAF políticas.

Para crear una AWS WAF política de Firewall Manager (consola)

Inicie sesión AWS Management Console con su cuenta de administrador de Firewall Manager y, a continuación, abra la consola de Firewall Manager enhttps://console.aws.amazon.com/wafv2/fmsv2. Para obtener información acerca de la configuración de una cuenta de administrador de Firewall Manager, consulte AWS Firewall Manager requisitos previos.

1. En el panel de navegación, seleccione Security policies (Políticas de seguridad).

2. Elija Crear política.

3. Para Policy type (Tipo de política), seleccione AWS WAF.

4. En Región, elija una Región de AWS. Para proteger CloudFront las distribuciones de Amazon, elige Global.

   Para proteger los recursos en varias regiones (distintas de CloudFront las distribuciones), debe crear políticas de Firewall Manager independientes para cada región.

5. Elija Siguiente.

6. En Nombre de política, introduzca un nombre descriptivo. Firewall Manager incluye el nombre de la política en los nombres de las ACL web que administra. Los nombres de las ACL web FMManagedWebACLV2- van seguidos del nombre de la política que se introduce aquí, -, y de la marca temporal de creación de las ACL web, en milisegundos UTC. Por ejemplo, FMManagedWebACLV2-MyWAFPolicyName-1621880374078.

   importante

   Los nombres de las ACL web no pueden cambiarse después de la creación. Si actualiza el nombre de su política, Firewall Manager no actualizará el nombre de la ACL web asociada. Para que Firewall Manager cree una ACL web con un nombre diferente, debe crear una política nueva.

7. En Policy rules (Reglas de política), para First rule groups (Primeros grupos de reglas), elija Add rule groups (Agregar grupos de reglas). Expanda los grupos de reglas de administrados de AWS . En Core rule set (Conjunto de reglas principales), active la opción Add to web ACL (Agregar a la ACL web). En entradas incorrectas conocidas de AWS , active Agregar a la ACL web. Elija Add rules (Agregar reglas).

   En Last rule groups (Últimos grupos de reglas), elija Add rule groups (Agregar grupos de reglas). Expanda los grupos de reglas administradas de AWS y en lista de reputación de IP de Amazon, active la opción Agregar a la ACL web. Elija Add rules (Agregar reglas).

   En Primeros grupos de reglas, seleccione Conjunto de reglas básicas y elija Bajar. AWS WAF evalúa las solicitudes web comparándolas con el grupo de reglas de entradas incorrectas AWS conocidas antes de compararlas con el conjunto de reglas básicas.

   Si lo desea, también puede crear sus propios grupos de AWS WAF reglas mediante la AWS WAF consola. Los grupos de reglas que cree aparecen en Your rule groups (Sus grupos de reglas) en la página Describe policy: Add rule groups (Describir política: agregar grupos de reglas).

   El primer y el último grupo de AWS WAF reglas que administra a través del Firewall Manager tienen nombres que comienzan con PREFMManaged- oPOSTFMManaged-, respectivamente, seguidos del nombre de la política del Administrador de Firewall y la marca de tiempo de creación del grupo de reglas, en milisegundos UTC. Por ejemplo, PREFMManaged-MyWAFPolicyName-1621880555123.

8. Deje la acción predeterminada para la ACL web en Allow (Permitir).

9. Deje la opción Policy action (Acción de política) en el valor predeterminado, para que no se corrijan automáticamente los recursos no conformes. Puede cambiar la opción más adelante.

10. Elija Siguiente.

11. En Policy scope (Enfoque de la política), proporcione la configuración de las cuentas, tipos de recursos y etiquetado que identifican los recursos a los que desea aplicar la política. Para este tutorial, deje los valores de Cuentas de AWS y Recursos y elija uno o más tipos de recursos.

12. En el caso de los recursos, puede limitar el alcance de la política mediante el etiquetado, ya sea incluyendo o excluyendo los recursos con las etiquetas que especifique. Puede utilizar la inclusión o la exclusión, y no ambas. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

    Si especifica más de una etiqueta, un recurso debe tener todas las etiquetas que se van a incluir o excluir.

    Las etiquetas de recursos solo pueden tener valores que no sean nulos. Si omite el valor de una etiqueta, el Firewall Manager guarda la etiqueta con un valor de cadena vacío: «». Las etiquetas de recursos solo coinciden con las etiquetas que tienen la misma clave y el mismo valor.

13. Elija Siguiente.

14. En el caso de las etiquetas de política, añada las etiquetas de identificación que desee añadir al recurso de políticas del Firewall Manager. Para obtener más información sobre etiquetas, consulte Trabajar con Tag Editor.

15. Elija Siguiente.

16. Revise la nueva configuración de la política y vuelva a las páginas en las que necesite realizar algún ajuste.

    Compruebe que Acciones de la política está establecido en Identificar los recursos que no cumplan las reglas de la política, pero sin corregirlos automáticamente. Esto te permite revisar los cambios que introduciría tu política antes de activarlos.

17. Cuando esté satisfecho con la política, elija Crear política.

    En el panel de políticas de AWS Firewall Manager , su política debe aparecer en la lista. Probablemente indique Pendiente en los encabezados de cuentas e indique el estado de la configuración de corrección automática. La creación de una política puede tardar varios minutos. Después de reemplazar el estado Pending (Pendiente) por recuentos de cuentas, puede elegir el nombre de la política para explorar el estado de cumplimiento de las cuentas y los recursos. Para obtener información, consulte Visualización de la información de cumplimiento de una AWS Firewall Manager política