Crear una ACL web - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Crear una ACL web

Para crear una nueva ACL web, utilice el asistente de creación de ACL web siguiendo el procedimiento de esta página.

Riesgo de tráfico de producción

Antes de implementar cambios en su ACL web para el tráfico de producción, pruébelos y ajústelos en un entorno provisional o de pruebas hasta que se sienta cómodo con el posible impacto en el tráfico. A continuación, pruebe y ajuste las reglas actualizadas en el modo de recuento con el tráfico de producción antes de habilitarlas. Para obtener instrucciones, consulte Probando y ajustando sus AWS WAF protecciones.

nota

El uso de más de 1500 WCU en una ACL web conlleva costos superiores al precio de la ACL web básica. Para obtener más información, consulte AWS WAF unidades de capacidad ACL web (WCU) y Precios de AWS WAF.

Para crear una ACL web

  1. Inicie sesión en la AWS WAF consola AWS Management Console y ábrala en https://console.aws.amazon.com/wafv2/.

  2. Elija Web ACLs (ACL web) en el panel de navegación y, a continuación, elija Create web ACL (Crear ACL web).

  3. En Name (Nombre), escriba el nombre que desea utilizar para identificar esta ACL web.

    nota

    No se puede cambiar el nombre después de crear la ACL web.

  4. (Opcional) En Description - optional (Descripción: opcional), introduzca una descripción más larga para la ACL web si lo desea.

  5. Para el nombre de la CloudWatch métrica, cambie el nombre predeterminado, si corresponde. Siga las instrucciones de la consola para ver los caracteres válidos. El nombre no puede contener caracteres especiales, espacios en blanco ni nombres de métricas reservados AWS WAF, como «All» y «Default_Action».

    nota

    No puede cambiar el nombre de la CloudWatch métrica después de crear la ACL web.

  6. En Tipo de recurso, elija la categoría de AWS recurso que desee asociar a esta ACL web, ya sea CloudFront distribuciones de Amazon o recursos regionales. Para obtener más información, consulte Asociar o desasociar una ACL web a un recurso AWS.

  7. En el caso de la región, si ha elegido un tipo de recurso regional, elija la región en la que desee AWS WAF almacenar la ACL web.

    Solo tiene que elegir esta opción para los tipos de recursos regionales. En el caso de CloudFront las distribuciones, la región está codificada como región EE. UU. Este (Virginia del Norte) yus-east-1, en el caso de las aplicaciones globales (CloudFront).

  8. (CloudFront, API Gateway, Amazon Cognito, App Runner y Verified Access) Para solicitudes web, límite de tamaño de inspección (opcional), si desea especificar un límite de tamaño de inspección corporal diferente, seleccione el límite. Inspeccionar un tamaño corporal superior al valor predeterminado de 16 KB puede conllevar costes adicionales. Para obtener más información acerca de esta opción, consulte Gestión de los límites de tamaño de la inspección corporal.

  9. (Opcional) Para AWS los recursos asociados: opcional, si desea especificar sus recursos ahora, elija Agregar AWS recursos. En el cuadro de diálogo, elija los recursos que desee asociar y, a continuación, elija Agregar. AWS WAF le devuelve a la página Describa la ACL web y AWS los recursos asociados.

  10. Elija Siguiente.

  11. (Opcional) Si desea agregar grupos de reglas administrados, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), seleccione Add rules (Añadir reglas) y, a continuación, haga clic en Add managed rule groups (Añadir grupos de reglas administrados). Realice lo siguiente para cada grupo de reglas administrado que desee agregar:

    1. En la página Añadir grupos de reglas gestionados, amplía el listado para AWS ver los grupos de reglas gestionados o el AWS Marketplace vendedor que elijas.

    2. En el grupo de reglas que desea agregar, en la columna Acción, active la opción Añadir a la ACL web.

      Para personalizar la forma en que su ACL web utiliza el grupo de reglas, seleccione Editar. A continuación se muestra la configuración de personalización común:

      • Anule las acciones de reglas para algunas o todas las reglas. Si no define una acción de anulación para una regla, la evaluación utiliza la acción de la regla que está definida dentro del grupo de reglas. Para obtener más información acerca de esta opción, consulte Anulaciones de acciones en los grupos de reglas.

      • Reduzca el alcance de las solicitudes web que inspecciona el grupo de reglas agregando una instrucción de restricción de acceso. Para obtener más información acerca de esta opción, consulte Instrucciones de restricción de acceso.

      • Algunos grupos de reglas administradas requieren que se proporcione una configuración adicional. Consulte la documentación de su proveedor de grupos de reglas administradas. Para obtener información específica sobre los grupos de reglas de reglas AWS administradas, consultaAWS Reglas administradas para AWS WAF.

      Cuando haya terminado con la configuración, seleccione Guardar regla.

    Seleccione Add rules (Añadir reglas) para terminar de agregar reglas administradas y volver a la página Add rules and rule groups (Añadir reglas y grupos de reglas).

  12. (Opcional) Si desea agregar su propio grupo de reglas, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas) y, a continuación, seleccione Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas). Realice lo siguiente para cada grupo de reglas que desee agregar:

    1. En la página Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), elija Rule group (Grupo de reglas).

    2. En Nombre, introduzca el nombre que desee usar para la regla del grupo de reglas en esta ACL web. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted. Consulte Grupos de reglas proporcionados por otros servicios.

    3. Seleccione el grupo de reglas de la lista.

      nota

      Si desea anular las acciones de las reglas de un grupo de reglas propio, guárdelo primero en la ACL web y, a continuación, edite la ACL web y la declaración de referencia del grupo de reglas en la lista de reglas de la ACL web. Puede sustituir las acciones de la regla por cualquier configuración de acción válida, del mismo modo que puede hacer con los grupos de reglas gestionados.

    4. Seleccione Añadir regla.

  13. (Opcional) Si desea agregar su propia regla, en la página Add rules and rule groups (Añadir reglas y grupos de reglas), elija Add rules (Añadir reglas), Add my own rules and rule groups (Añadir mis propias reglas y grupos de reglas), Rule builder (Generador, de reglas) y, a continuación, Rule visual editor (Editor visual de reglas).

    nota

    El Rule visual editor (Editor visual de reglas) de la consola admite un nivel de anidamiento. Por ejemplo, puede utilizar una sola instrucción lógica AND o OR y anidar otro nivel de instrucciones en ella, pero no puede anidar instrucciones lógicas dentro de instrucciones lógicas. Para administrar instrucciones de regla más complejas, utilice el Rule JSON editor (Editor de JSON de reglas). Para obtener información sobre todas las opciones de reglas, consulte AWS WAF reglas.

    Este procedimiento abarca el Rule visual editor (Editor visual de reglas).

    1. En Name (Nombre), introduzca el nombre que desea utilizar para identificar esta regla. No utilice nombres que comiencen por AWS, Shield, PreFM o PostFM. Estas cadenas están reservadas o pueden causar confusión con los grupos de reglas que otros servicios administran para usted.

    2. Introduzca la definición de la regla en función de sus necesidades. Puede combinar reglas en instrucciones de reglas lógicas AND y OR. El asistente le guía a través de las opciones para cada regla según el contexto. Para obtener información sobre las opciones de reglas, consulte AWS WAF reglas.

    3. En Action (Acción), seleccione la acción que desea que realice la regla cuando coincida con una solicitud web. Para obtener más información acerca de sus opciones, consulte Acción de regla y Evaluación de reglas y grupos de reglas de ACL web.

      Si utiliza la acción CAPTCHA o Challenge, ajuste la configuración del tiempo de inmunidad según sea necesario para la regla. Si no especifica la configuración, la regla la hereda de la ACL web. Para modificar la configuración del tiempo de inmunidad de la ACL web, edite la ACL web después de crearla. Para obtener más información sobre los tiempos de inmunidad, consulte Vencimiento de la marca de tiempo: tiempos de inmunidad de los tokens.

      nota

      Se le cobrarán tarifas adicionales cuando utilice la acción de regla CAPTCHA o Challenge en una de sus reglas o como anulación de una acción de regla en un grupo de reglas. Para obtener más información, consulte AWS WAF Precios.

      Si quiere personalizar la solicitud o la respuesta, elija las opciones correspondientes y complete los detalles de la personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

      Si quiere que su regla añada etiquetas a las solicitudes web coincidentes, elija las opciones correspondientes y rellene los detalles de la etiqueta. Para obtener más información, consulte AWS WAF etiquetas en las solicitudes web.

    4. Seleccione Añadir regla.

  14. Elija la acción predeterminada para ACL web, cualquiera de Block o Allow. Esta es la acción que AWS WAF se lleva a cabo cuando las reglas de la ACL web no la permiten ni bloquean de forma explícita. Para obtener más información, consulte La acción predeterminada de ACL web.

    Si desea personalizar la acción predeterminada, elija las opciones correspondientes y rellene los detalles de su personalización. Para obtener más información, consulte Solicitudes web y respuestas personalizadas en AWS WAF.

  15. Puede definir una lista de dominios de token para permitir el intercambio de tokens entre aplicaciones protegidas. Las Challenge acciones CAPTCHA y los SDK de integración de aplicaciones que se implementan cuando se utilizan los grupos de reglas de AWS Managed Rules para el control de fraudes, la prevención del AWS WAF fraude en la creación de cuentas (ACFP), el control del AWS WAF fraude, la prevención del robo de cuentas (ATP) y AWS WAF el control de bots.

    No se admiten sufijos públicos. Por ejemplo, no puede usar gov.au o co.uk como dominio de token.

    De forma predeterminada, solo AWS WAF acepta los tokens del dominio del recurso protegido. Si agrega dominios simbólicos a esta lista, AWS WAF acepta los tokens para todos los dominios de la lista y para el dominio del recurso asociado. Para obtener más información, consulte Configuración de la lista de dominios de tokens de ACL web.

  16. Seleccione Siguiente.

  17. En la página Definir la prioridad de las reglas, seleccione y mueva las reglas y los grupos de reglas AWS WAF al orden en que desee procesarlos. AWS WAF procesa las reglas empezando por la parte superior de la lista. Al guardar la ACL web, AWS WAF asigna una configuración de prioridad numérica a las reglas en el orden en el que las haya colocado en la lista. Para obtener más información, consulte Procesamiento del orden de las reglas y los grupos de reglas en una ACL web.

  18. Seleccione Siguiente.

  19. En la página Configurar métricas, revise las opciones y aplique las actualizaciones que necesite. Puede combinar métricas de varias fuentes proporcionándoles el mismo nombre de CloudWatch métrica.

  20. Elija Siguiente.

  21. Revise las definiciones en la página Review and create web ACL (Revisar y crear ACL web). Si desea cambiar cualquier área, elija el área y seleccione Edit (Editar). Esto le devuelve a la página en el asistente de ACL web. Realice los cambios y, a continuación, haga clic en Next (Siguiente) para pasar las páginas hasta volver a la página Review and create web ACL (Revisar y crear ACL Web).

  22. Elija Create web ACL (Crear ACL web). La nueva ACL web aparece en la página Web ACLs .