**Presentamos una nueva experiencia de consola para AWS WAF**
Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html).
Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Uso AWS WAF con Amazon CloudFront
Obtén información sobre cómo utilizarlas AWS WAF con CloudFront las funciones de Amazon.
Al crear un paquete de protección (ACL web), puede especificar una o más CloudFront distribuciones que desee AWS WAF inspeccionar. CloudFront admite dos tipos de distribuciones: distribuciones estándar que protegen a los inquilinos individuales y distribuciones multiusuario que protegen a varios inquilinos mediante una única plantilla de configuración compartida. AWS WAF inspecciona las solicitudes web para ambos tipos de distribución en función de las reglas que defina en sus paquetes de protección (web ACLs), con patrones de implementación diferentes para cada tipo.
**Topics**
+ [¿Cómo AWS WAF funciona con los distintos tipos de distribución](#cloudfront-features-distribution-types)
+ [Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija](#waf-cf-pricing-plans)
+ [Casos de uso comunes para proteger CloudFront distribuciones con AWS WAF](cloudfront-waf-use-cases.md)
## ¿Cómo AWS WAF funciona con los distintos tipos de distribución
### Tipos de distribución
AWS WAF proporciona capacidades de firewall de aplicaciones web para distribuciones de distribución estándar y multiusuario. CloudFront
#### Distribuciones estándar
En el caso de las distribuciones estándar, AWS WAF añade protección mediante un único paquete de protección (ACL web) para cada distribución. Puede habilitar esta protección asociando un paquete de protección existente (ACL web) a una CloudFront distribución o utilizando la protección con un solo clic en la consola. CloudFront Esto le permite administrar los controles de seguridad de cada una de sus distribuciones de forma independiente, ya que cualquier cambio en un paquete de protección (ACL web) solo afectará a la distribución asociada a él.
Este sencillo método de protección de CloudFront las distribuciones es óptimo para proporcionar a los dominios individuales protecciones específicas a partir de un único paquete de protección (ACL web).
##### Consideraciones de distribución estándar
+ Los cambios en un paquete de protección (ACL web) afectan únicamente a su distribución asociada
+ Cada distribución requiere una configuración de paquete de protección (ACL web) independiente
+ Las reglas y los grupos de reglas se administran por separado para cada distribución
#### Distribuciones de varios inquilinos
En el caso de las distribuciones con varios usuarios, AWS WAF añade protección en varios dominios mediante un único paquete de protección (ACL web). Los dominios que se administran mediante distribuciones de varios inquilinos se conocen como inquilinos de distribución. Solo puede habilitar la AWS WAF protección de las distribuciones con varios inquilinos en la CloudFront consola, ya sea durante o después del proceso de creación de la distribución con varios inquilinos. Sin embargo, los cambios en un paquete de protección (ACL web) se siguen gestionando a través de la AWS WAF consola o la API.
Las distribuciones multiusuario ofrecen la flexibilidad necesaria para habilitar AWS WAF las protecciones en dos niveles:
+ **Nivel de distribución multiusuario**: los paquetes de protección asociados (web ACLs) proporcionan controles de seguridad básicos que se aplican a todas las aplicaciones que comparten esa distribución
+ **Nivel de inquilino de distribución**: los inquilinos individuales de una distribución con varios inquilinos pueden tener sus propios paquetes de protección (web ACLs) para implementar controles de seguridad adicionales o anular la configuración de distribución con varios inquilinos
Estos dos niveles hacen que las distribuciones multiusuario sean óptimas para compartir AWS WAF protecciones en varios dominios sin perder la capacidad de personalizar la seguridad de una distribución individual.
#### Consideraciones de la distribución de varios inquilinos
+ Los arrendatarios de distribución individuales heredan los cambios realizados en los paquetes de protección (web ACLs) asociados a distribuciones multiusuario relacionadas
+ Los paquetes de protección (web ACLs) asociados a arrendatarios de distribución específicos pueden anular los ajustes configurados en el nivel del paquete de protección multiusuario (ACL web)
+ Los grupos de reglas administradas se pueden implementar tanto en las distribuciones como en los inquilinos de distribución.
+ Los identificadores de las aplicaciones se pueden ubicar en los registros para rastrear los eventos de seguridad por distribución.
### AWS WAF funciones por tipo de distribución
**Comparación de las implementaciones del paquete de protección (ACL web)**
| AWS WAF Característica | Distribuciones estándar | Distribuciones de varios inquilinos |
| --- | --- | --- |
| Asociación de paquetes de protección (web ACLs) | Un paquete de protección (ACL web) por distribución | Puede compartir los paquetes de protección (web ACLs) entre los inquilinos, con los paquetes de protección opcionales específicos para cada inquilino (web) ACLs |
| Administración de reglas | Las reglas afectan a una única distribución | Las reglas de distribución para varios inquilinos afectan a todos los inquilinos asociados; las reglas de distribución específicas para cada inquilino afectan solo a ese inquilino |
| grupos de reglas administradas | Se aplica a distribuciones individuales | Se puede aplicar en la distribución de varios inquilinos para todos los inquilinos o en el inquilino para aplicaciones específicas. |
| Registro | Registros estándar AWS WAF | Los registros incluyen identificadores de inquilinos para la atribución de eventos de seguridad |
## Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija
CloudFront los planes de precios fijos combinan la red CloudFront global de entrega de contenido (CDN) de Amazon con múltiples funciones Servicios de AWS y en un precio mensual sin cargos por exceso, independientemente de los picos de tráfico o los ataques.
Los planes de precios fijos incluyen lo siguiente Servicios de AWS y funciones por un simple precio mensual:
+ CloudFront CDN
+ AWS WAF y protección DDo S
+ Administración y análisis de bots
+ DNS de Amazon Route 53
+ Ingestión CloudWatch de Amazon Logs
+ Certificado TLS
+ Computación de periferia sin servidor
+ Créditos de almacenamiento de Amazon S3 cada mes
Los planes están disponibles en los niveles Free, Pro, Business y Premium para adaptarse a las necesidades de la aplicación. Los planes no necesitan un compromiso anual para obtener las mejores tarifas disponibles. Comience con el plan gratuito y actualícelo para acceder a más capacidades y mayores límites de uso.
Para obtener más información y una lista completa de planes y funciones, consulta los [planes CloudFront de precios](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/flat-rate-pricing-plan.html) fijos en la *Guía para CloudFront desarrolladores de Amazon*.
**importante**
Al utilizar cualquier plan de precios, debe permanecer asociado a su CloudFront distribución un paquete de AWS WAF protección válido (ACL web). No puede eliminar la asociación del paquete de protección (ACL web) a menos que vuelva a establecer pay-as-you-go los precios.
Si bien una ACL AWS WAF web debe permanecer asociada a su distribución, usted mantiene el control total sobre su configuración de seguridad. Puede personalizar su protección ajustando las reglas que están habilitadas o deshabilitadas en su ACL web y modificar la configuración de las reglas para que se ajuste a sus requisitos de seguridad. Para obtener información sobre la administración de las reglas de ACL web, consulte [AWS WAF Reglas](https://docs.aws.amazon.com/waf/latest/developerguide/waf-rules.html).
# Casos de uso comunes para proteger CloudFront distribuciones con AWS WAF
Las siguientes AWS WAF funciones funcionan de la misma manera en todas las CloudFront distribuciones. Las consideraciones para las distribuciones de varios inquilinos se enumeran después de cada escenario de característica.
## Se utiliza AWS WAF con páginas CloudFront de error personalizadas
De forma predeterminada, cuando AWS WAF bloquea una solicitud web en función de los criterios que especifiques CloudFront, devuelve el código `403 (Forbidden)` de estado HTTP y lo CloudFront devuelve al espectador. El visor muestra un breve mensaje predeterminado con formato elemental similar al que se muestra a continuación:
```
Forbidden: You don't have permission to access /myfilename.html on this server.
```
Puede anular este comportamiento en las reglas del paquete de AWS WAF protección (ACL web) definiendo respuestas personalizadas. Para obtener más información sobre cómo personalizar el comportamiento de las respuestas mediante AWS WAF reglas, consulte. [Envío de respuestas personalizadas para las acciones Block](customizing-the-response-for-blocked-requests.md)
**nota**
Las respuestas que personalice mediante AWS WAF reglas tienen prioridad sobre cualquier especificación de respuesta que defina en las páginas de error CloudFront personalizadas.
Si prefieres mostrar un mensaje de error personalizado CloudFront, posiblemente con el mismo formato que el resto del sitio web, puedes configurarlo para que devuelva CloudFront al espectador un objeto (por ejemplo, un archivo HTML) que contenga tu mensaje de error personalizado.
**nota**
CloudFront no puedes distinguir entre un código de estado HTTP 403 que devuelve tu origen y otro que devuelve AWS WAF cuando se bloquea una solicitud. Esto significa que no puede devolver diferentes páginas de error personalizadas en función de las diferentes causas de un código de estado HTTP 403.
Para obtener más información sobre las páginas de error CloudFront personalizadas, consulta [Generar respuestas de error personalizadas](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/GeneratingCustomErrorResponses.html) en la *Guía para CloudFront desarrolladores de Amazon*.
### Páginas de error personalizadas en distribuciones de varios inquilinos
Para las CloudFront distribuciones multiusuario, puede configurar las páginas de error personalizadas de las siguientes maneras:
+ Para varios inquilinos: estos ajustes se aplican a todas las distribuciones de inquilinos que usan la plantilla de distribución de varios inquilinos.
+ Mediante AWS WAF reglas: las respuestas personalizadas definidas en los paquetes de protección (web ACLs) tienen prioridad sobre la distribución multiusuario y las páginas de error personalizadas a nivel de inquilino
## AWS WAF Utilízalo con aplicaciones CloudFront que se ejecutan en tu propio servidor HTTP
Cuando lo usa AWS WAF con CloudFront, puede proteger las aplicaciones que se ejecutan en cualquier servidor web HTTP, ya sea un servidor web que se ejecute en Amazon Elastic Compute Cloud EC2 (Amazon) o un servidor web que administre de forma privada. También puede configurarlo CloudFront para que requiera HTTPS entre CloudFront y su propio servidor web, así como entre los espectadores y. CloudFront
**Requiere HTTPS entre CloudFront y su propio servidor web**
Si necesitas HTTPS entre tu servidor web CloudFront y tu propio servidor web, puedes usar la función de origen CloudFront personalizado y configurar la **política de protocolo de origen** y los ajustes del **nombre de dominio de origen** para orígenes específicos. En tu CloudFront configuración, puedes especificar el nombre DNS del servidor junto con el puerto y el protocolo que quieres usar CloudFront para recuperar objetos de tu origen. También debes asegurarte de que el SSL/TLS certificado de tu servidor de origen personalizado coincida con el nombre de dominio de origen que has configurado. Si utilizas tu propio servidor web HTTP fuera de él AWS, debes usar un certificado firmado por una entidad emisora de certificados (CA) externa de confianza, por ejemplo, Comodo o DigiCert Symantec. Para obtener más información sobre cómo se requiere HTTPS para la comunicación entre CloudFront y su propio servidor web, consulte el tema [Requerir HTTPS para la comunicación entre CloudFront y su origen personalizado](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-cloudfront-to-custom-origin.html) en la *Guía para CloudFront desarrolladores de Amazon*.
**Requerir HTTPS entre un espectador y CloudFront**
Para requerir HTTPS entre los espectadores y CloudFront, puede cambiar la **política de protocolo de visualización** para uno o más comportamientos de caché en su CloudFront distribución. Para obtener más información sobre el uso de HTTPS entre espectadores CloudFront, consulte el tema [Exigir HTTPS para la comunicación entre espectadores y CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/using-https-viewers-to-cloudfront.html) en la *Guía para CloudFront desarrolladores de Amazon*. También puedes traer tu propio certificado SSL para que los espectadores puedan conectarse a tu CloudFront distribución a través de HTTPS con tu propio nombre de dominio, por ejemplo *https://www.mysite.com*. Para obtener más información, consulte el tema [Configuración de nombres de dominio alternativos y HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/cnames-and-https-procedures.html) en la *Guía para CloudFront desarrolladores de Amazon*.
En el caso de las distribuciones de varios inquilinos, las configuraciones de los métodos HTTP siguen esta jerarquía:
+ La configuración por plantilla define los métodos HTTP de referencia permitidos para todas las distribuciones de inquilinos.
+ Las distribuciones de inquilinos pueden anular esta configuración para lo siguiente:
+ Permita menos métodos que la distribución multiusuario (utilice AWS WAF reglas para bloquear métodos adicionales)
+ Permitir más métodos si la distribución de varios inquilinos está configurada para admitirlos
+ AWS WAF las reglas tanto a nivel de distribución multiusuario como de inquilino pueden restringir aún más los métodos HTTP, independientemente de la configuración CloudFront
## Elegir los métodos HTTP que CloudFront respondan a
Cuando creas una distribución CloudFront web de Amazon, eliges los métodos HTTP que quieres CloudFront procesar y reenviar a tu origen. Puede elegir entre las siguientes opciones:
+ **`GET`, `HEAD`** — CloudFront Solo puedes usarlos para obtener objetos de tu origen o para obtener encabezados de objetos.
+ **`GET`,`HEAD`, `OPTIONS`** — CloudFront Solo puedes usarlo para obtener objetos de tu origen, obtener encabezados de objetos o recuperar una lista de las opciones que admite tu servidor de origen.
+ **`GET`,`HEAD`,`OPTIONS`,`PUT`,, `POST``PATCH`, `DELETE`** — Se puede utilizar CloudFront para obtener, añadir, actualizar y eliminar objetos, así como para obtener encabezados de objetos. Además, puede realizar otras operaciones de `POST` como enviar datos desde un formulario web.
También puede usar sentencias de reglas de coincidencia de AWS WAF bytes para permitir o bloquear las solicitudes según el método HTTP, tal y como se describe en[Instrucción de regla de coincidencia de cadenas](waf-rule-statement-type-string-match.md). Si desea utilizar una combinación de métodos CloudFront compatibles, como `GET` y`HEAD`, no necesita configurarla AWS WAF para bloquear las solicitudes que utilizan los otros métodos. Si desea permitir una combinación de métodos que CloudFront no sea compatible, por ejemplo, y `GET` `HEAD``POST`, puede configurarla para que responda CloudFront a todos los métodos y, a continuación, utilizarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.
Para obtener más información sobre cómo elegir los métodos CloudFront adecuados, consulte [Métodos HTTP permitidos](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html#DownloadDistValuesAllowedHTTPMethods) en el tema [Valores que se especifican al crear o actualizar una distribución web](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-values-specify.html) de la *Guía para CloudFront desarrolladores de Amazon*.
**Configuraciones de métodos HTTP permitidas en distribuciones de varios inquilinos**
En el caso de las distribuciones de varios inquilinos, las configuraciones de los métodos HTTP establecidas por distribución de varios inquilinos se aplican a todas las distribuciones de inquilino de forma predeterminada. Las distribuciones de inquilino pueden anular esta configuración si es necesario.
+ Si desea utilizar una combinación de métodos CloudFront compatibles, como `GET` y`HEAD`, no necesita configurarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.
+ Si quieres permitir una combinación de métodos que CloudFront no es compatible de forma predeterminada, como, y `GET` `HEAD``POST`, puedes configurarla para que responda CloudFront a todos los métodos y, después, utilizarla AWS WAF para bloquear las solicitudes que utilizan otros métodos.
Al implementar encabezados de seguridad en distribuciones de varios inquilinos, tenga en cuenta lo siguiente:
+ Los encabezados de seguridad por plantilla proporcionan una protección básica en todas las distribuciones de inquilino.
+ Las distribuciones de inquilino pueden:
+ Agregar nuevos encabezados de seguridad no definidos en la distribución de varios inquilinos
+ Modificar los valores de los encabezados específicos de cada inquilino
+ No se pueden eliminar ni anular los encabezados de seguridad establecidos por distribución de varios inquilinos.
+ Considere la posibilidad de utilizar encabezados por distribución de varios inquilinos para los controles de seguridad críticos que deberían aplicarse a todos los inquilinos.
## Consideraciones sobre el registro
Tanto las distribuciones estándar como las multiusuario admiten el AWS WAF registro, pero existen diferencias importantes en la forma en que se estructuran y administran los registros:
**Comparación de registros**
| Distribuciones estándar | Distribuciones de varios inquilinos |
| --- | --- |
| Una configuración de registro por distribución | Plantilla y opciones de registro por inquilino |
| Campos de registro estándar | Campos de identificación de inquilinos adicionales |
| Destino único por distribución | Destinos individuales posibles para registros de distribuciones de varios inquilinos y de inquilino |
## Recursos adicionales
+ Para obtener más información sobre las distribuciones multiusuario, consulte [Configurar distribuciones en la Guía](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-working-with.html) para desarrolladores de *Amazon CloudFront *.
+ Para obtener más información sobre el uso AWS WAF con CloudFront, consulte [Uso de la AWS WAF protección](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/distribution-web-awswaf.html) en la *Guía para CloudFront desarrolladores de Amazon*.
+ Para obtener más información sobre AWS WAF los registros, consulte[Campos de registro para el tráfico del paquete de protección (ACL web)](logging-fields.md).