Lista de direcciones IP cuyas tasas están limitada por reglas basadas en tasas

En esta sección, se explica cómo acceder a la lista de direcciones IP que actualmente están bloqueadas por una regla basada en tasas utilizando la CLI, la API o cualquiera de los SDK.

Si su regla basada en tasas solo agrega direcciones IP o direcciones IP reenviadas, puede recuperar la lista de direcciones IP cuyas tasas está limitando actualmente la regla. AWS WAF almacena estas direcciones IP en la lista de claves administradas de la regla.

Una regla basada en tasas aplica su acción de regla a las solicitudes de la lista de claves administradas de la regla que coinciden con la instrucción de restricción de acceso de la regla. Cuando una regla no tiene una instrucción de restricción de acceso, aplica la acción a todas las solicitudes de las direcciones IP que figuran en la lista. La acción de regla es Block de forma predeterminada, pero puede ser cualquier acción de regla válida excepto Allow. El número máximo de direcciones IP a las que AWS WAF puede limitar las tasas mediante una única instancia de regla basada en tasas es de 10 000. Si más de 10 000 direcciones superan el límite de tasas, AWS WAF limita las que tengan las tasas más altas.

Puede acceder a la lista de claves administradas de una regla basada en tasas mediante la CLI, la API o cualquier SDK. En este tema se aborda el acceso mediante la CLI y las API. La consola no proporciona acceso a la lista en este momento.

Para la API de AWS WAF, el comando es GetRateBasedStatementManagedKeys.

Para la CLI de AWS WAF, el comando es get-rate-based-statement-managed-keys.

A continuación se muestra la sintaxis para recuperar la lista de direcciones IP bloqueadas para una regla basada en tasas que se está utilizando en una distribución de Amazon CloudFront.

aws wafv2 get-rate-based-statement-managed-keys --scope=CLOUDFRONT --region=us-east-1 --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

El proceso es básicamente el mismo para una API de REST de Amazon API Gateway, un equilibrador de carga de aplicación, una API GraphQL de AWS AppSync, un grupo de usuarios de Amazon Cognito, un servicio de AWS App Runner o una instancia de acceso verificado de AWS.

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-name=RuleName

AWS WAF monitoriza las solicitudes web y administra las claves de forma independiente para cada combinación única de ACL web, grupo de reglas opcional y regla basada en tasas. Por ejemplo, si define una regla basada en tasas dentro de un grupo de reglas y, a continuación, usa el grupo de reglas en una ACL web, AWS WAF monitoriza las solicitudes web y administra las claves de esa ACL web, instrucción de referencia del grupo de reglas e instancia de regla basada en tasas. Si usa el mismo grupo de reglas en una segunda ACL web, AWS WAF monitoriza las solicitudes web y administra las claves para este segundo uso con total independencia del primero.

Para una regla basada en tasas que haya definido dentro de un grupo de reglas, debe proporcionar el nombre de la instrucción de referencia del grupo de reglas en su solicitud, además del nombre de la ACL web y el nombre de la regla basada en tasas dentro del grupo de reglas. A continuación, se muestra la sintaxis de una aplicación regional en la que la regla basada en tasas se define dentro de un grupo de reglas y el grupo de reglas se usa en una ACL web.

aws wafv2 get-rate-based-statement-managed-keys --scope=REGIONAL --region=region --web-acl-name=WebACLName --web-acl-id=WebACLId --rule-group-rule-name=RuleGroupRuleName --rule-name=RuleName