Uso de AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced

Uso de AWS CloudFormation con la mitigación automática de DDoS en la capa de aplicación

En esta página, se explica cómo usar AWS CloudFormation para administrar sus protecciones y la ACL web de AWS WAF.

Cómo habilitar o deshabilitar la mitigación automática de DDoS en la capa de aplicación

Puede habilitar y deshabilitar la mitigación automática de DDoS en la capa de aplicación mediante AWS CloudFormation utilizando el recurso AWS::Shield::Protection. El efecto es el mismo que cuando se habilita o deshabilita la característica a través de la consola o cualquier otra interfaz. Para obtener información sobre el recurso de AWS CloudFormation, consulte AWS::Shield::Protection en la Guía del usuario de AWS CloudFormation.

Administración de las ACL web utilizadas con mitigación automática

Shield Advanced administra la mitigación automática de su recurso protegido mediante una regla del grupo de reglas de la ACL web de AWS WAF del recurso protegido. A través de la consola de AWS WAF y las API, verá la regla incluida en las reglas de la ACL web con un nombre que empieza por ShieldMitigationRuleGroup. Esta regla está dedicada a la mitigación automática de DDoS en la capa de aplicación y Shield Advanced y AWS WAF la administran por usted. Para obtener más información, consulte Protección de la capa de aplicaciones con el grupo de reglas de Shield Advanced y Cómo administra Shield Advanced la mitigación automática.

Si usa AWS CloudFormation para administrar sus ACL web, no agregue la regla de grupo de reglas Shield Advanced a su plantilla de ACL web. Cuando actualiza una ACL web en uso con sus protecciones de mitigación automática, AWS WAF administra automáticamente la regla del grupo de reglas de la ACL web.

Verá las siguientes con respecto a otras ACL web que gestione mediante AWS CloudFormation:

  • AWS CloudFormation no mostrará ninguna desviación en el estado de desviación de la pila entre la configuración real de la ACL web, la regla del grupo de reglas de Shield Advanced, y su plantilla de ACL web, sin la regla. La regla de Shield Advanced no aparecerá en los detalles de desviación de la lista del recurso.

    Podrá ver la regla del grupo de reglas de Shield Advanced en las listas de la ACL web que recupere de AWS WAF, como a través de la consola de AWS WAF o las API de AWS WAF.

  • Si modifica la plantilla de la ACL web en una pila, AWS WAF y Shield Advanced mantienen automáticamente la regla de mitigación automática de Shield Advanced en la ACL web actualizada. Las protecciones de mitigación automática ofrecidas por Shield Advanced no se ven interrumpidas por la actualización de la ACL web.

No administre la regla de Shield Advanced en su plantilla de ACL web de AWS CloudFormation. La plantilla de la ACL web no debe incluir la regla de Shield Advanced. Siga las prácticas recomendadas para la administración de ACL web en Prácticas recomendadas para utilizar la mitigación automática de DDoS en la capa de aplicación.