**Presentamos una nueva experiencia de consola para AWS WAF**

Ahora puede usar la experiencia actualizada para acceder a las AWS WAF funciones desde cualquier parte de la consola. Para obtener más información, consulte [Trabajar con la consola](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html). 

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Seguridad en el uso del AWS WAF servicio
<a name="security"></a>

En esta sección se explica cómo se aplica el modelo de responsabilidad compartida a AWS WAF.

La seguridad en la nube AWS es la máxima prioridad. Como AWS cliente, usted se beneficia de una arquitectura de centro de datos y red diseñada para cumplir con los requisitos de las organizaciones más sensibles a la seguridad.

**nota**  
Esta sección proporciona una guía AWS de seguridad estándar para el uso del AWS WAF servicio y sus AWS recursos, como los paquetes de AWS WAF protección (web ACLs) y los grupos de reglas.   
Para obtener información sobre cómo proteger sus AWS recursos mediante el uso AWS WAF, consulte el resto de la AWS WAF guía. 

La seguridad es una responsabilidad compartida entre usted AWS y usted. El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) la describe como seguridad *de* la nube y seguridad *en* la nube:
+ **Seguridad de la nube**: AWS es responsable de proteger la infraestructura que ejecuta AWS los servicios en la Nube de AWS. AWS también le proporciona servicios que puede utilizar de forma segura. Auditores externos prueban y verifican periódicamente la eficacia de nuestra seguridad en el marco de los [Programas de conformidad de AWS](https://aws.amazon.com/compliance/programs/). Para obtener más información sobre los programas de conformidad aplicables AWS WAF, consulte los [AWS servicios incluidos en el ámbito de aplicación por programa de conformidad](https://aws.amazon.com/compliance/services-in-scope/).
+ **Seguridad en la nube**: su responsabilidad viene determinada por el AWS servicio que utilice. Usted también es responsable de otros factores, incluida la confidencialidad de los datos, los requisitos de la empresa y la legislación y los reglamentos aplicables. 

Esta documentación le ayuda a comprender cómo aplicar el modelo de responsabilidad compartida cuando se utiliza AWS WAF. Los siguientes temas muestran cómo configurarlo AWS WAF para cumplir sus objetivos de seguridad y conformidad. También aprenderá a utilizar otros AWS servicios que le ayudan a supervisar y proteger sus AWS WAF recursos. 

**Topics**
+ [Protección de sus datos en AWS WAF](data-protection.md)
+ [Uso de IAM con AWS WAF](security-iam.md)
+ [Inicio de sesión y supervisión AWS WAF](waf-incident-response.md)
+ [Validación del cumplimiento en AWS WAF](waf-compliance.md)
+ [Construir para la resiliencia en AWS WAF](disaster-recovery-resiliency.md)
+ [Seguridad de infraestructura en AWS WAF](infrastructure-security.md)

# Protección de sus datos en AWS WAF
<a name="data-protection"></a>

El modelo de [responsabilidad AWS compartida modelo](https://aws.amazon.com/compliance/shared-responsibility-model/) se aplica a la protección de datos en AWS WAF. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta todos los Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS *.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utiliza la autenticación multifactor (MFA) en cada cuenta.
+ Se utiliza SSL/TLS para comunicarse con AWS los recursos. Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Configure la API y el registro de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte [Cómo trabajar con CloudTrail senderos](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del AWS CloudTrail usuario*.
+ Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.
+ Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger la información confidencial almacenada en Amazon S3.
+ Si necesita módulos criptográficos validados por FIPS 140-3 para acceder a AWS través de una interfaz de línea de comandos o una API, utilice un punto final FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaja con AWS WAF o Servicios de AWS utiliza la consola, la API o. AWS CLI AWS SDKs Cualquier dato que introduzca en etiquetas o campos de formato libre utilizados para los nombres se pueden emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

AWS WAF las entidades, como los paquetes de protección (web ACLs), los grupos de reglas y los conjuntos de IP, se cifran en reposo, excepto en determinadas regiones donde el cifrado no está disponible, como China (Pekín) y China (Ningxia). Para cada región se utilizan claves de cifrado únicas. 

## Eliminar recursos AWS WAF
<a name="deleting-resources"></a>

Puede eliminar los recursos que creó en AWS WAF. Consulte las directrices para cada tipo de recurso en las siguientes secciones.
+ [Cómo eliminar un paquete de protección (ACL web)](web-acl-deleting.md)
+ [Eliminación de un grupo de reglas](waf-rule-group-deleting.md)
+ [Eliminar un conjunto de IP](waf-ip-set-managing.md#waf-ip-set-deleting)
+ [Eliminar un conjunto de patrones de expresiones regex](waf-regex-pattern-set-managing.md#waf-regex-pattern-set-deleting)

# Uso de IAM con AWS WAF
<a name="security-iam"></a>

En esta sección se explica cómo usar IAM con. AWS WAF



AWS Identity and Access Management (IAM) es una herramienta Servicio de AWS que ayuda al administrador a controlar de forma segura el acceso a los AWS recursos. Los administradores de IAM controlan quién puede *autenticarse (iniciar* sesión) y quién puede *autorizarse* (tener permisos) para usar los recursos. AWS WAF La IAM es una Servicio de AWS opción que puede utilizar sin coste adicional.

**Topics**
+ [Público](#security_iam_audience)
+ [Autenticación con identidades](#security_iam_authentication)
+ [Administración del acceso con políticas](#security_iam_access-manage)
+ [Cómo AWS WAF funciona con IAM](security_iam_service-with-iam.md)
+ [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)
+ [AWS políticas gestionadas para AWS WAF](security-iam-awsmanpol.md)
+ [Solución de problemas AWS WAF de identidad y acceso](security_iam_troubleshoot.md)
+ [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md)

## Público
<a name="security_iam_audience"></a>

La forma de usar AWS Identity and Access Management (IAM) varía según la función que desempeñes:
+ **Usuario del servicio:** solicite permisos al administrador si no puede acceder a las características (consulte [Solución de problemas AWS WAF de identidad y acceso](security_iam_troubleshoot.md)).
+ **Administrador del servicio:** determine el acceso de los usuarios y envíe las solicitudes de permiso (consulte [Cómo AWS WAF funciona con IAM](security_iam_service-with-iam.md)).
+ **Administrador de IAM**: escribe las políticas para administrar el acceso (consulte [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)).

## Autenticación con identidades
<a name="security_iam_authentication"></a>

La autenticación es la forma en que inicias sesión AWS con tus credenciales de identidad. Debe autenticarse como usuario de Usuario raíz de la cuenta de AWS IAM o asumir una función de IAM.

Puede iniciar sesión como una identidad federada con las credenciales de una fuente de identidad, como AWS IAM Identity Center (IAM Identity Center), la autenticación de inicio de sesión único o las credenciales. Google/Facebook Para obtener más información sobre el inicio de sesión, consulte [Cómo iniciar sesión en la Cuenta de AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) en la *Guía del usuario de AWS Sign-In *.

Para el acceso programático, AWS proporciona un SDK y una CLI para firmar criptográficamente las solicitudes. Para obtener más información, consulte [AWS Signature Version 4 para solicitudes de API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) en la *Guía del usuario de IAM*.

### Cuenta de AWS usuario root
<a name="security_iam_authentication-rootuser"></a>

 Al crear un Cuenta de AWS, se comienza con una identidad de inicio de sesión denominada *usuario Cuenta de AWS raíz* que tiene acceso completo a todos Servicios de AWS los recursos. Se recomiendaencarecidamente que no utilice el usuario raíz para las tareas diarias. Para ver las tareas que requieren credenciales de usuario raíz, consulte [Tareas que requieren credenciales de usuario raíz](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) en la *Guía del usuario de IAM*. 

### Identidad federada
<a name="security_iam_authentication-federated"></a>

Como práctica recomendada, exija a los usuarios humanos que utilicen la federación con un proveedor de identidades para acceder Servicios de AWS mediante credenciales temporales.

Una *identidad federada* es un usuario del directorio empresarial, del proveedor de identidades web o al Directory Service que se accede Servicios de AWS mediante credenciales de una fuente de identidad. Las identidades federadas asumen roles que proporcionan credenciales temporales.

Para una administración de acceso centralizada, se recomienda AWS IAM Identity Center. Para obtener más información, consulte [¿Qué es el Centro de identidades de IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) en la *Guía del usuario de AWS IAM Identity Center *.

### Usuarios y grupos de IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* es una identidad con permisos específicos para una sola persona o aplicación. Recomendamos el uso de credenciales temporales en lugar de usuarios de IAM con credenciales de larga duración. Para obtener más información, consulte [Exigir a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder AWS mediante credenciales temporales](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) en la Guía del usuario de *IAM*.

Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) especifica un conjunto de usuarios de IAM y facilita la administración de los permisos para grupos grandes de usuarios. Para obtener más información, consulte [Casos de uso para usuarios de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) en la *Guía del usuario de IAM*.

### Roles de IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[Rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* es una identidad con permisos específicos que proporciona credenciales temporales. Puede asumir un rol [cambiando de un rol de usuario a uno de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o llamando a una AWS CLI operación de AWS API. Para obtener más información, consulte [Métodos para asumir un rol](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) en la *Guía del usuario de IAM*.

Los roles de IAM son útiles para el acceso de usuario federado, los permisos de usuario de IAM temporales, el acceso entre cuentas, el acceso entre servicios y las aplicaciones que se ejecutan en Amazon EC2. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

## Administración del acceso con políticas
<a name="security_iam_access-manage"></a>

El acceso se controla AWS creando políticas y adjuntándolas a AWS identidades o recursos. Una política define los permisos cuando están asociados a una identidad o un recurso. AWS evalúa estas políticas cuando un director hace una solicitud. La mayoría de las políticas se almacenan AWS como documentos JSON. Para obtener más información sobre los documentos de políticas de JSON, consulte [Información general de políticas de JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) en la *Guía del usuario de IAM*.

Mediante las políticas, los administradores especifican quién tiene acceso a qué, definiendo qué **entidad principal** puede realizar **acciones** sobre qué **recursos** y en qué **condiciones**.

De forma predeterminada, los usuarios y los roles no tienen permisos. Un administrador de IAM crea políticas de IAM y las agrega a roles, que los usuarios pueden asumir posteriormente. Las políticas de IAM definen permisos independientemente del método que se utilice para realizar la operación.

### Políticas basadas en identidades
<a name="security_iam_access-manage-id-based-policies"></a>

Las políticas basadas en identidad son documentos de política de permisos JSON que asocia a una identidad (usuario, grupo o rol). Estas políticas controlan qué acciones pueden realizar las identidades, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Las políticas basadas en identidad pueden ser *políticas insertadas* (incrustadas directamente en una sola identidad) o *políticas administradas* (políticas independientes asociadas a varias identidades). Para obtener información sobre cómo elegir entre políticas administradas e insertadas, consulte [Selección entre políticas administradas y políticas insertadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) en la *Guía del usuario de IAM*.

### Políticas basadas en recursos
<a name="security_iam_access-manage-resource-based-policies"></a>

Las políticas basadas en recursos son documentos de políticas JSON que se asocian a un recurso. Los ejemplos incluyen las *Políticas de confianza de roles* de IAM y las *Políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos.

Las políticas basadas en recursos son políticas insertadas que se encuentran en ese servicio. No puedes usar políticas AWS gestionadas de IAM en una política basada en recursos.

### Otros tipos de políticas
<a name="security_iam_access-manage-other-policies"></a>

AWS admite tipos de políticas adicionales que pueden establecer los permisos máximos que conceden los tipos de políticas más comunes:
+ **Límites de permisos:** establecen los permisos máximos que una política basada en identidad puede conceder a una entidad de IAM. Para obtener más información, consulte [Límites de permisos para las entidades de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) en la *Guía del usuario de IAM*.
+ **Políticas de control de servicios (SCPs)**: especifican los permisos máximos para una organización o unidad organizativa en AWS Organizations. Para obtener más información, consulte [Políticas de control de servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) en la *Guía del usuario de AWS Organizations *.
+ **Políticas de control de recursos (RCPs)**: establece los permisos máximos disponibles para los recursos de tus cuentas. Para obtener más información, consulte [Políticas de control de recursos (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) en la *Guía del AWS Organizations usuario*.
+ **Políticas de sesión:** políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal para un rol o un usuario federado. Para obtener más información, consulte [Políticas de sesión](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) en la *Guía del usuario de IAM*.

### Varios tipos de políticas
<a name="security_iam_access-manage-multiple-policies"></a>

Cuando se aplican varios tipos de políticas a una solicitud, los permisos resultantes son más complicados de entender. Para saber cómo se AWS determina si se debe permitir una solicitud cuando se trata de varios tipos de políticas, consulte la [lógica de evaluación de políticas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) en la *Guía del usuario de IAM*.

# Cómo AWS WAF funciona con IAM
<a name="security_iam_service-with-iam"></a>

En esta sección se explica cómo utilizar las funciones de IAM con. AWS WAF

Antes de utilizar IAM para gestionar el acceso AWS WAF, infórmese sobre las funciones de IAM disponibles para su uso. AWS WAF






**Funciones de IAM que puede utilizar con AWS WAF**  

| Característica de IAM | AWS WAF soporte | 
| --- | --- | 
|  [Políticas basadas en identidades](#security_iam_service-with-iam-id-based-policies)  |   Sí  | 
|  [Políticas basadas en recursos](#security_iam_service-with-iam-resource-based-policies)  |   Sí  | 
|  [Acciones de políticas](#security_iam_service-with-iam-id-based-policies-actions)  |   Sí  | 
|  [Recursos de políticas](#security_iam_service-with-iam-id-based-policies-resources)  |   Sí  | 
|  [Claves de condición de política (específicas del servicio)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Sí  | 
|  [ACLs](#security_iam_service-with-iam-acls)  |   No   | 
|  [ABAC (etiquetas en políticas)](#security_iam_service-with-iam-tags)  |   Parcial  | 
|  [Credenciales temporales](#security_iam_service-with-iam-roles-tempcreds)  |   Sí  | 
|  [Sesiones de acceso directo (FAS)](#security_iam_service-with-iam-principal-permissions)  |   Sí  | 
|  [Roles de servicio](#security_iam_service-with-iam-roles-service)  |   Sí  | 
|  [Roles vinculados al servicio](#security_iam_service-with-iam-roles-service-linked)  |   Sí  | 

Para obtener una visión general de cómo AWS WAF funcionan otros AWS servicios con la mayoría de las funciones de IAM, consulte [AWS los servicios que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la Guía del usuario de *IAM*.

## Políticas basadas en la identidad para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Compatibilidad con las políticas basadas en identidad:** sí

Las políticas basadas en identidad son documentos de políticas de permisos JSON que puede asociar a una identidad, como un usuario de IAM, un grupo de usuarios o un rol. Estas políticas controlan qué acciones pueden realizar los usuarios y los roles, en qué recursos y en qué condiciones. Para obtener más información sobre cómo crear una política basada en la identidad, consulte [Definición de permisos de IAM personalizados con políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) en la *Guía del usuario de IAM*.

Con las políticas basadas en identidades de IAM, puede especificar las acciones y los recursos permitidos o denegados, así como las condiciones en las que se permiten o deniegan las acciones. Para obtener más información sobre los elementos que puede utilizar en una política de JSON, consulte [Referencia de los elementos de la política de JSON de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) en la *Guía del usuario de IAM*.

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

## Políticas basadas en recursos incluidas AWS WAF
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Compatibilidad con las políticas basadas en recursos:** sí

Las políticas basadas en recursos son documentos de política JSON que se asocian a un recurso. Los ejemplos de políticas basadas en recursos son las *políticas de confianza de roles* de IAM y las *políticas de bucket* de Amazon S3. En los servicios que admiten políticas basadas en recursos, los administradores de servicios pueden utilizarlos para controlar el acceso a un recurso específico. Para el recurso al que se asocia la política, la política define qué acciones puede realizar una entidad principal especificada en ese recurso y en qué condiciones. Debe [especificar una entidad principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) en una política basada en recursos. Los principales pueden incluir cuentas, usuarios, roles, usuarios federados o. Servicios de AWS

Para habilitar el acceso entre cuentas, puede especificar toda una cuenta o entidades de IAM de otra cuenta como la entidad principal de una política en función de recursos. Para obtener más información, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

AWS WAF utiliza políticas basadas en recursos para permitir el uso compartido de grupos de reglas entre cuentas. Para compartir un grupo de reglas de su propiedad con otra AWS cuenta, debe proporcionar la configuración de políticas basada en recursos a la llamada a la AWS WAF API `PutPermissionPolicy` o a una llamada de CLI o SDK equivalente. Para obtener información adicional, incluidos ejemplos y enlaces a la documentación de los demás idiomas disponibles, consulta la referencia de [PutPermissionPolicy](https://docs.aws.amazon.com/waf/latest/APIReference/API_PutPermissionPolicy.html)la AWS WAF API. Esta funcionalidad no está disponible a través de otros medios, como la consola o. CloudFormation

## Acciones políticas para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Compatibilidad con las acciones de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Action` de una política JSON describe las acciones que puede utilizar para conceder o denegar el acceso en una política. Incluya acciones en una política para conceder permisos y así llevar a cabo la operación asociada.



Para ver una lista de AWS WAF acciones y permisos para cada una de ellas, consulta [las acciones definidas por la AWS WAF versión 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) en la *Referencia de autorización de servicios*.

Las acciones políticas AWS WAF utilizan el siguiente prefijo antes de la acción:

```
wafv2
```

Para especificar varias acciones en una única instrucción, sepárelas con comas.

```
"Action": [
      "wafv2:action1",
      "wafv2:action2"
         ]
```



Puede utilizar caracteres comodín (\$1) para especificar varias acciones . Por ejemplo, para especificar todas las acciones AWS WAF que comiencen por`List`, incluya la siguiente acción:

```
"Action": "wafv2:List*"
```

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

### Acciones que requieren configuraciones de permisos adicionales
<a name="security_iam_action-additions"></a>

Algunas acciones requieren permisos que no se pueden describir completamente en [las acciones definidas por la AWS WAF versión 2 de](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) la *Referencia de autorización de servicios*. En esta sección, se proporciona información adicional sobre los permisos.

**Topics**
+ [Permisos para `AssociateWebACL`](#security_iam_action-AssociateWebACL)
+ [Permisos para `DisassociateWebACL`](#security_iam_action-DisassociateWebACL)
+ [Permisos para `GetWebACLForResource`](#security_iam_action-GetWebACLForResource)
+ [Permisos para `ListResourcesForWebACL`](#security_iam_action-ListResourcesForWebACL)

#### Permisos para `AssociateWebACL`
<a name="security_iam_action-AssociateWebACL"></a>

En esta sección, se enumeran los permisos necesarios para asociar un paquete de protección (ACL web) a un recurso mediante la acción `AssociateWebACL` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acción`UpdateDistribution`. Para obtener más información, consulta [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)la *referencia de la CloudFront API de Amazon*. 

**API de REST de Amazon API Gateway**  
Requiere permiso para llamar a API Gateway `SetWebACL` en el tipo de recurso de API REST y para llamar AWS WAF `AssociateWebACL` a un paquete de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Equilibrador de carga de aplicación**  
Requiere permiso para realizar una `elasticloadbalancing:SetWebACL` acción en el tipo de recurso Application Load Balancer y para llamar AWS WAF `AssociateWebACL` a un paquete de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Requiere permiso para llamar al tipo AWS AppSync `SetWebACL` de recurso de la API GraphQL y a un paquete AWS WAF `AssociateWebACL` de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para ejecutar la `AssociateWebACL` acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para AWS WAF `AssociateWebACL` invocar un paquete de protección (ACL web). 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para llamar a la `AssociateWebACL` acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar AWS WAF `AssociateWebACL` a una ACL web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:AssociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para ejecutar la `ec2:AssociateVerifiedAccessInstanceWebAcl` acción en el tipo de recurso de la instancia de acceso verificado y para llamar AWS WAF `AssociateWebACL` a una ACL web. 

```
{
    "Sid": "AssociateWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:AssociateWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "AssociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:AssociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permisos para `DisassociateWebACL`
<a name="security_iam_action-DisassociateWebACL"></a>

En esta sección, se enumeran los permisos necesarios para desasociar un paquete de protección (ACL web) de un recurso mediante la acción `DisassociateWebACL` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, en lugar de esta acción, usa la CloudFront acción `UpdateDistribution` con un ID de paquete de protección (ACL web) vacío. Para obtener más información, consulta [UpdateDistribution](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_UpdateDistribution.html)la *referencia de la CloudFront API de Amazon*. 

**API de REST de Amazon API Gateway**  
Requiere permiso para llamar a API Gateway `SetWebACL` en el tipo de recurso de API de REST. No requiere permiso para llamar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "apigateway:SetWebACL"
    ],
    "Resource": [
        "arn:aws:apigateway:*::/restapis/*/stages/*"
    ]
}
```

**Equilibrador de carga de aplicación**  
Requiere permiso para llamar a la acción `elasticloadbalancing:SetWebACL` en el tipo de recurso equilibrador de carga de aplicación. No requiere permiso para llamar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "elasticloadbalancing:SetWebACL"
    ],
    "Resource": [
        "arn:aws:elasticloadbalancing:*:account-id:loadbalancer/app/*/*"
    ]
}
```

**AWS AppSync API GraphQL**  
Requiere permiso para invocar el AWS AppSync `SetWebACL` tipo de recurso de la API GraphQL. No requiere permiso para llamar AWS WAF `DisassociateWebACL`.

```
{
    "Sid": "DisassociateWebACL",
    "Effect": "Allow",
    "Action": [
        "appsync:SetWebACL"
    ],
    "Resource": [
        "arn:aws:appsync:*:account-id:apis/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para ejecutar la `DisassociateWebACL` acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para realizar la llamada. AWS WAF `DisassociateWebACL` 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:DisassociateWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para ejecutar la `DisassociateWebACL` acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DisassociateWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para ejecutar la `ec2:DisassociateVerifiedAccessInstanceWebAcl` acción en el tipo de recurso de la instancia de Verified Access y para realizar la llamada AWS WAF `DisassociateWebACL`. 

```
{
    "Sid": "DisassociateWebACL1",
    "Effect": "Allow",
    "Action": "wafv2:DisassociateWebACL",
    "Resource": "*"
},
{
    "Sid": "DisassociateWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DisassociateVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permisos para `GetWebACLForResource`
<a name="security_iam_action-GetWebACLForResource"></a>

En esta sección, se enumeran los permisos necesarios para obtener el paquete de protección (ACL web) para un recurso protegido mediante la acción `GetWebACLForResource` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acción`GetDistributionConfig`. Para obtener más información, consulta [GetDistributionConfig](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_GetDistributionConfig.html)la *referencia de la CloudFront API de Amazon*. 

**nota**  
`GetWebACLForResource` requiere el permiso para llamar a `GetWebACL`. En este contexto, se AWS WAF utiliza `GetWebACL` únicamente para comprobar que su cuenta tiene el permiso que necesita para acceder al paquete de protección (ACL web) que `GetWebACLForResource` aparece. Cuando llames`GetWebACLForResource`, es posible que aparezca un error que indique que tu cuenta no está autorizada a `wafv2:GetWebACL` utilizar el recurso. AWS WAF no añade este tipo de error al historial de AWS CloudTrail eventos. 

**API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway**  
Se requiere permiso para llamar AWS WAF `GetWebACLForResource` y `GetWebACL` para obtener un paquete de protección (ACL web). 

```
{
    "Sid": "GetWebACLForResource",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para llamar a la `GetWebACLForResource` acción de Amazon Cognito en el tipo de recurso del grupo de usuarios y para llamar AWS WAF `GetWebACLForResource` a y. `GetWebACL` 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [ 
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:GetWebACLForResource"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para llamar a la `DescribeWebAclForService` acción de App Runner en el tipo de recurso de servicio de App Runner y para llamar a AWS WAF `GetWebACLForResource` y`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "apprunner:DescribeWebAclForService"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para ejecutar la `ec2:GetVerifiedAccessInstanceWebAcl` acción en el tipo de recurso de la instancia de acceso verificado y para llamar a AWS WAF `GetWebACLForResource` y`GetWebACL`. 

```
{
    "Sid": "GetWebACLForResource1",
    "Effect": "Allow",
    "Action": [
        "wafv2:GetWebACLForResource",
        "wafv2:GetWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "GetWebACLForResource2",
    "Effect": "Allow",
    "Action": [
        "ec2:GetVerifiedAccessInstanceWebAcl"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

#### Permisos para `ListResourcesForWebACL`
<a name="security_iam_action-ListResourcesForWebACL"></a>

En esta sección, se enumeran los permisos necesarios para recuperar la lista de recursos protegidos para un paquete de protección (ACL web) mediante la acción `ListResourcesForWebACL` de AWS WAF . 

Para CloudFront las distribuciones de Amazon, usa la acción en lugar de esta CloudFront acción`ListDistributionsByWebACLId`. Para obtener más información, consulta [ListDistributionsByWebACLId](https://docs.aws.amazon.com/cloudfront/latest/APIReference/API_ListDistributionsByWebACLId.html)la *referencia de la CloudFront API de Amazon*. 

**API REST, Application Load Balancer y AWS AppSync GraphQL de Amazon API Gateway**  
Se requiere permiso AWS WAF `ListResourcesForWebACL` para solicitar una ACL web. 

```
{
    "Sid": "ListResourcesForWebACL",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
}
```

**Grupo de usuarios de Amazon Cognito**  
Requiere permiso para llamar a la acción `ListResourcesForWebACL` de Amazon Cognito en el tipo de recurso de grupo de usuarios y para llamar a `ListResourcesForWebACL` de AWS WAF . 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "cognito-idp:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:cognito-idp:*:account-id:userpool/*"
    ]
}
```

**AWS App Runner servicio**  
Requiere permiso para ejecutar la `ListAssociatedServicesForWebAcl` acción de App Runner en el tipo de recurso de servicio de App Runner y realizar la llamada AWS WAF `ListResourcesForWebACL`. 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "apprunner:ListAssociatedServicesForWebAcl"
    ],
    "Resource": [
        "arn:aws:apprunner:*:account-id:service/*/*"
    ]
}
```

**AWS Instancia de acceso verificado**  
Requiere permiso para llamar a la acción `ec2:DescribeVerifiedAccessInstanceWebAclAssociations` en el tipo de recurso de instancia de acceso verificado y llamar a `ListResourcesForWebACL` de AWS WAF . 

```
{
    "Sid": "ListResourcesForWebACL1",
    "Effect": "Allow",
    "Action": [
        "wafv2:ListResourcesForWebACL"
    ],
    "Resource": [
        "arn:aws:wafv2:region:account-id:regional/webacl/*/*"
    ]
},
{
    "Sid": "ListResourcesForWebACL2",
    "Effect": "Allow",
    "Action": [
        "ec2:DescribeVerifiedAccessInstanceWebAclAssociations"
    ],
    "Resource": [
        "arn:aws:ec2:*:account-id:verified-access-instance/*"
    ]
}
```

## Recursos de políticas para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Compatibilidad con los recursos de políticas:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Resource` de la política JSON especifica el objeto u objetos a los que se aplica la acción. Como práctica recomendada, especifique un recurso utilizando el [Nombre de recurso de Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). En el caso de las acciones que no admiten permisos por recurso, utilice un carácter comodín (\$1) para indicar que la instrucción se aplica a todos los recursos.

```
"Resource": "*"
```

Para ver la lista de tipos de AWS WAF recursos y sus tipos ARNs, consulte [los recursos definidos por la AWS WAF versión 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-resources-for-iam-policies) en la *Referencia de autorización de servicios*. Para saber con qué acciones puede especificar el ARN de cada recurso, consulte [Acciones definidas por AWS WAF](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions) V2. Para permitir o denegar el acceso a un subconjunto de AWS WAF recursos, incluya el ARN del recurso en el elemento de `resource` la política.

Los ARNs AWS WAF `wafv2` recursos tienen el siguiente formato:

```
arn:partition:wafv2:region:account-id:scope/resource-type/resource-name/resource-id
```

Para obtener información general sobre las especificaciones del ARN, consulte [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) en el. Referencia general de Amazon Web Services

A continuación se enumeran los requisitos específicos ARNs de los `wafv2` recursos: 
+ *region*: En el caso de AWS WAF los recursos que utilizas para proteger CloudFront las distribuciones de Amazon, establézcalo en. `us-east-1` De lo contrario, establézcalo en la región que esté utilizando con sus recursos regionales protegidos. 
+ *scope*: establece el alcance `global` para usarlo con una CloudFront distribución de Amazon o `regional` para usarlo con cualquiera de los recursos regionales AWS WAF compatibles. Los recursos regionales son una API REST de Amazon API Gateway, un Application Load Balancer, una API de AWS AppSync GraphQL, un grupo de usuarios de Amazon Cognito, un AWS App Runner servicio y una instancia de Verified Access. AWS 
+ *resource-type*: especifique uno de los siguientes valores:`webacl`,, `rulegroup``ipset`, `regexpatternset` o. `managedruleset`
+ *resource-name*: especifique el nombre que asignó al AWS WAF recurso o especifique un comodín (`*`) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos. 
+ *resource-id*: especifique el ID del AWS WAF recurso o especifique un comodín (`*`) para indicar todos los recursos que cumplen las demás especificaciones del ARN. Debe especificar el nombre y el identificador del recurso, o especificar un comodín para ambos.

Por ejemplo, el siguiente ARN especifica todos los paquetes de protección (web ACLs) con alcance regional para la cuenta `111122223333` en Región: `us-west-1`

```
arn:aws:wafv2:us-west-1:111122223333:regional/webacl/*/*
```

El siguiente ARN especifica el grupo de reglas denominado `MyIPManagementRuleGroup` con un alcance global para la cuenta `111122223333` en la región `us-east-1`:

```
arn:aws:wafv2:us-east-1:111122223333:global/rulegroup/MyIPManagementRuleGroup/1111aaaa-bbbb-cccc-dddd-example-id
```

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

## Claves de condición de la política para AWS WAF
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Compatibilidad con claves de condición de políticas específicas del servicio:** sí

Los administradores pueden usar las políticas de AWS JSON para especificar quién tiene acceso a qué. Es decir, qué **entidad principal** puede realizar **acciones** en qué **recursos** y en qué **condiciones**.

El elemento `Condition` especifica cuándo se ejecutan las instrucciones en función de criterios definidos. Puede crear expresiones condicionales que utilizan [operadores de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tales como igual o menor que, para que la condición de la política coincida con los valores de la solicitud. Para ver todas las claves de condición AWS globales, consulte las claves de [contexto de condición AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) en la *Guía del usuario de IAM*.

Además, AWS WAF admite las siguientes claves de condición que puede utilizar para proporcionar un filtrado detallado a sus políticas de IAM:
+ **wafv2: LogDestinationResource**

  Esta clave de condición usa una especificación de nombre de recurso de Amazon (ARN) para el destino del registro. Este es el ARN que proporciona para el destino del registro cuando utiliza la llamada `PutLoggingConfiguration` a la API de REST. 

  Puede especificar un ARN de forma explícita, así como también el filtrado del ARN. El siguiente ejemplo especifica el filtrado de los buckets de Amazon S3 ARNs que tienen una ubicación y un prefijo específicos. 

  ```
  "Condition": { "ArnLike": { "wafv2:LogDestinationResource": "arn:aws:s3:::aws-waf-logs-suffix/custom-prefix/*" } }
  ```
+ **wafv2: LogScope**

  Esta clave de condición define el origen de la configuración de registro en una cadena. En la actualidad, siempre tiene el valor predeterminado `Customer`, lo que indica que el destino del registro es de su propiedad y está administrado por usted. 

Para ver una lista de claves de AWS WAF condición, consulte las claves de [condición de la AWS WAF versión 2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-policy-keys) en la Referencia de *autorización de servicio*. Para saber con qué acciones y recursos puede utilizar una clave de condición, consulte [Acciones definidas por la AWS WAF V2](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html#awswafv2-actions-as-permissions).

Para ver ejemplos de políticas AWS WAF basadas en la identidad, consulte. [Ejemplos de políticas basadas en la identidad para AWS WAF](security_iam_id-based-policy-examples.md)

## ACLs in AWS WAF
<a name="security_iam_service-with-iam-acls"></a>

**Soporta ACLs**: No 

Las listas de control de acceso (ACLs) controlan qué directores (miembros de la cuenta, usuarios o roles) tienen permisos para acceder a un recurso. ACLs son similares a las políticas basadas en recursos, aunque no utilizan el formato de documento de políticas JSON.

## ABAC con AWS WAF
<a name="security_iam_service-with-iam-tags"></a>

**Compatibilidad con ABAC (etiquetas en las políticas):** parcial

El control de acceso basado en atributos (ABAC) es una estrategia de autorización que define permisos en función de atributos denominados etiquetas. Puede adjuntar etiquetas a las entidades y AWS los recursos de IAM y, a continuación, diseñar políticas de ABAC para permitir las operaciones cuando la etiqueta del principal coincida con la etiqueta del recurso.

Para controlar el acceso en función de etiquetas, debe proporcionar información de las etiquetas en el [elemento de condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) de una política utilizando las claves de condición `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.

Si un servicio admite las tres claves de condición para cada tipo de recurso, el valor es **Sí** para el servicio. Si un servicio admite las tres claves de condición solo para algunos tipos de recursos, el valor es **Parcial**.

*Para obtener más información sobre ABAC, consulte [Definición de permisos con la autorización de ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) en la Guía del usuario de IAM*. Para ver un tutorial con los pasos para configurar ABAC, consulte [Uso del control de acceso basado en atributos (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) en la *Guía del usuario de IAM*.

## Utilizar credenciales temporales con AWS WAF
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Compatibilidad con credenciales temporales:** sí

Las credenciales temporales proporcionan acceso a AWS los recursos a corto plazo y se crean automáticamente al utilizar la federación o al cambiar de función. AWS recomienda generar credenciales temporales de forma dinámica en lugar de utilizar claves de acceso a largo plazo. Para obtener más información, consulte [Credenciales de seguridad temporales en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) y [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) en la *Guía del usuario de IAM*.

## Reenvíe las sesiones de acceso para el servicio AWS WAF
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Admite sesiones de acceso directo (FAS):** sí

 Las sesiones de acceso directo (FAS) utilizan los permisos del operador principal que realiza la llamada Servicio de AWS, junto con los de solicitud, Servicio de AWS para realizar solicitudes a los servicios descendentes. Para obtener información sobre las políticas a la hora de realizar solicitudes de FAS, consulte [Sesiones de acceso directo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Funciones de servicio para AWS WAF
<a name="security_iam_service-with-iam-roles-service"></a>

**Compatible con roles de servicio:** sí

 Un rol de servicio es un [rol de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) que asume un servicio para realizar acciones en su nombre. Un administrador de IAM puede crear, modificar y eliminar un rol de servicio desde IAM. Para obtener más información, consulte [Crear un rol para delegar permisos a un Servicio de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) en la *Guía del usuario de IAM*. 

**aviso**  
Cambiar los permisos de un rol de servicio podría interrumpir AWS WAF la funcionalidad. Edite las funciones de servicio solo cuando se AWS WAF proporcionen instrucciones para hacerlo.

## Funciones vinculadas al servicio para AWS WAF
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Compatible con roles vinculados al servicio:** sí

 Un rol vinculado a un servicio es un tipo de rol de servicio que está vinculado a un. Servicio de AWS El servicio puede asumir el rol para realizar una acción en su nombre. Los roles vinculados al servicio aparecen en usted Cuenta de AWS y son propiedad del servicio. Un administrador de IAM puede ver, pero no editar, los permisos de los roles vinculados a servicios. 

Para obtener más información sobre la creación o la administración de funciones AWS WAF vinculadas al servicio, consulte. [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md)

# Ejemplos de políticas basadas en la identidad para AWS WAF
<a name="security_iam_id-based-policy-examples"></a>

En esta sección se proporcionan ejemplos de políticas basadas en la identidad para. AWS WAF

De forma predeterminada, los usuarios y roles no tienen permiso para crear, ver ni modificar recursos de AWS WAF . Un administrador de IAM puede crear políticas de IAM para conceder permisos a los usuarios para realizar acciones en los recursos que necesitan.

Para obtener información acerca de cómo crear una política basada en identidades de IAM mediante el uso de estos documentos de políticas JSON de ejemplo, consulte [Creación de políticas de IAM (consola)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las acciones y los tipos de recursos definidos AWS WAF, incluido el formato de cada uno ARNs de los tipos de recursos, consulte [las claves de condición, recursos y acciones de la AWS WAF versión 2 en la Referencia](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswafv2.html) de *autorización de servicios*.

**Topics**
+ [Prácticas recomendadas sobre las políticas](#security_iam_service-with-iam-policy-best-practices)
+ [Uso de la consola AWS WAF](#security_iam_id-based-policy-examples-console)
+ [Cómo permitir a los usuarios consultar sus propios permisos](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Otorgue acceso de solo lectura a, y AWS WAF CloudFront CloudWatch](#security_iam_id-based-policy-examples-read-only1)
+ [Conceda acceso completo a AWS WAF CloudFront, y CloudWatch](#security_iam_id-based-policy-examples-full-access1)
+ [Conceda acceso a una sola Cuenta de AWS](#security_iam_id-based-policy-examples-access-to-account)
+ [Concesión de acceso a un único paquete de protección (ACL web)](#security_iam_id-based-policy-examples-access-to-web-acl)
+ [Concesión de acceso a la CLI a un paquete de protección (ACL web) y a un grupo de reglas](#security_iam_id-based-policy-examples-cli-access-to-web-acl)

## Prácticas recomendadas sobre las políticas
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Las políticas basadas en la identidad determinan si alguien puede crear AWS WAF recursos de tu cuenta, acceder a ellos o eliminarlos. Estas acciones pueden generar costos adicionales para su Cuenta de AWS. Siga estas directrices y recomendaciones al crear o editar políticas basadas en identidades:
+ **Comience con las políticas AWS administradas y avance hacia los permisos con privilegios mínimos: para empezar a conceder permisos** a sus usuarios y cargas de trabajo, utilice las *políticas AWS administradas* que otorgan permisos para muchos casos de uso comunes. Están disponibles en su. Cuenta de AWS Le recomendamos que reduzca aún más los permisos definiendo políticas administradas por el AWS cliente que sean específicas para sus casos de uso. Con el fin de obtener más información, consulte las [políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o las [políticas administradas por AWS para funciones de tarea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía de usuario de IAM*.
+ **Aplique permisos de privilegio mínimo**: cuando establezca permisos con políticas de IAM, conceda solo los permisos necesarios para realizar una tarea. Para ello, debe definir las acciones que se pueden llevar a cabo en determinados recursos en condiciones específicas, también conocidos como *permisos de privilegios mínimos*. Con el fin de obtener más información sobre el uso de IAM para aplicar permisos, consulte [Políticas y permisos en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) en la *Guía del usuario de IAM*.
+ **Utilice condiciones en las políticas de IAM para restringir aún más el acceso**: puede agregar una condición a sus políticas para limitar el acceso a las acciones y los recursos. Por ejemplo, puede escribir una condición de políticas para especificar que todas las solicitudes deben enviarse utilizando SSL. También puedes usar condiciones para conceder el acceso a las acciones del servicio si se utilizan a través de una acción específica Servicio de AWS, por ejemplo CloudFormation. Para obtener más información, consulte [Elementos de la política de JSON de IAM: Condición](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) en la *Guía del usuario de IAM*.
+ **Utiliza el analizador de acceso de IAM para validar las políticas de IAM con el fin de garantizar la seguridad y funcionalidad de los permisos**: el analizador de acceso de IAM valida políticas nuevas y existentes para que respeten el lenguaje (JSON) de las políticas de IAM y las prácticas recomendadas de IAM. El analizador de acceso de IAM proporciona más de 100 verificaciones de políticas y recomendaciones procesables para ayudar a crear políticas seguras y funcionales. Para más información, consulte [Validación de políticas con el Analizador de acceso de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) en la *Guía del usuario de IAM*.
+ **Requerir autenticación multifactor (MFA**): si tiene un escenario que requiere usuarios de IAM o un usuario raíz en Cuenta de AWS su cuenta, active la MFA para mayor seguridad. Para exigir la MFA cuando se invoquen las operaciones de la API, añada condiciones de MFA a sus políticas. Para más información, consulte [Acceso seguro a la API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) en la *Guía del usuario de IAM*.

Para obtener más información sobre las prácticas recomendadas de IAM, consulte [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) en la *Guía del usuario de IAM*.

## Uso de la consola AWS WAF
<a name="security_iam_id-based-policy-examples-console"></a>

Para acceder a la AWS WAF consola, debe tener un conjunto mínimo de permisos. Estos permisos deben permitirle enumerar y ver detalles sobre los AWS WAF recursos de su cuenta Cuenta de AWS. Si crea una política basada en identidades que sea más restrictiva que el mínimo de permisos necesarios, la consola no funcionará del modo esperado para las entidades (usuarios o roles) que tengan esa política.

No es necesario que concedas permisos mínimos de consola a los usuarios que solo realicen llamadas a la API AWS CLI o a la AWS API. En su lugar, permita el acceso únicamente a las acciones que coincidan con la operación de API que intentan realizar.

Para garantizar que los usuarios y los roles puedan usar la AWS WAF consola, adjunte también al menos la política AWS WAF `AWSWAFConsoleReadOnlyAccess` AWS administrada a las entidades. Para obtener información sobre esta política administrada, consulte [AWS política gestionada: AWSWAFConsole ReadOnlyAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess). Para obtener más información sobre cómo agregar una política administrada a un usuario, consulte [Agregar permisos a un usuario](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) en la *Guía del usuario de IAM*.

## Cómo permitir a los usuarios consultar sus propios permisos
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

En este ejemplo, se muestra cómo podría crear una política que permita a los usuarios de IAM ver las políticas administradas e insertadas que se asocian a la identidad de sus usuarios. Esta política incluye permisos para completar esta acción en la consola o mediante programación mediante la API AWS CLI o AWS .

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Otorgue acceso de solo lectura a, y AWS WAF CloudFront CloudWatch
<a name="security_iam_id-based-policy-examples-read-only1"></a>

La siguiente política otorga a los usuarios acceso de solo lectura a AWS WAF los recursos, a las distribuciones CloudFront web de Amazon y a las métricas de Amazon. CloudWatch Resulta útil para los usuarios que necesitan permiso para ver la configuración de los paquetes de AWS WAF condiciones, reglas y protección (web ACLs) para ver qué distribución está asociada a un paquete de protección (ACL web) y para monitorizar las métricas y una muestra de solicitudes. CloudWatch Estos usuarios no pueden crear, actualizar ni eliminar recursos de AWS WAF .

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:Get*",
                "wafv2:List*",
                "cloudfront:GetDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:GetDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

## Conceda acceso completo a AWS WAF CloudFront, y CloudWatch
<a name="security_iam_id-based-policy-examples-full-access1"></a>

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación, realizar cualquier operación en distribuciones CloudFront web y monitorear las métricas y una muestra de solicitudes en CloudWatch ellas. Es útil para los usuarios que son AWS WAF administradores.

```
 {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "wafv2:*",
                "cloudfront:CreateDistribution",
                "cloudfront:ListDistributions",
                "cloudfront:ListDistributionsByWebACLId",
                "cloudfront:UpdateDistribution",
                "cloudfront:GetDistributionConfig",
                "cloudfront:GetDistribution",
                "cloudfront:DisassociateDistributionTenantWebACL",
                "cloudfront:DisassociateDistributionWebACL",
                "cloudfront:AssociateDistributionTenantWebACL",
                "cloudfront:AssociateDistributionWebACL",
                "cloudfront:ListDistributionTenantsByCustomization",
                "cloudfront:ListDistributionTenants",
                "cloudfront:DeleteDistribution",
                "cloudfront:GetDistributionTenant",
                "cloudfront:DeleteDistributionTenant",
                "cloudwatch:GetMetricData",
                "cloudwatch:ListMetrics",
                "cloudwatch:GetMetricStatistics",
                "ec2:DescribeRegions",
                "pricingplanmanager:GetSubscription",
                "pricingplanmanager:ListSubscriptions",
                "pricingplanmanager:UpdateSubscription",
                "pricingplanmanager:CancelSubscription",
                "pricingplanmanager:CancelSubscriptionChange",
                "pricingplanmanager:AssociateResourcesToSubscription",
                "pricingplanmanager:DisassociateResourcesFromSubscription",
                "route53:ListHostedZones",
                "route53:GetHostedZone"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}
```

Recomendamos encarecidamente que configure la autenticación multifactor (MFA) para los usuarios que tienen permisos administrativos. Para obtener más información, consulte [Uso de la autenticación multifactor (MFA) en dispositivos con AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingMFA.html) en la *Guía del usuario de IAM*. 

## Conceda acceso a una sola Cuenta de AWS
<a name="security_iam_id-based-policy-examples-access-to-account"></a>

Esta política concede los siguientes permisos a la cuenta 444455556666:
+ Acceso total a todas AWS WAF las operaciones y recursos.
+ Lea y actualice el acceso a todas CloudFront las distribuciones, lo que le permite asociar paquetes de protección (web ACLs) y CloudFront distribuciones.
+ Acceda a todas las CloudWatch métricas y estadísticas métricas para poder ver CloudWatch los datos y una muestra de las solicitudes en la AWS WAF consola. 

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
            "arn:aws:wafv2:us-east-1:444455556666:*"
         ]
      },
      {
         "Effect": "Allow",
         "Action": [
            "cloudfront:GetDistribution",
            "cloudfront:GetDistributionConfig",
            "cloudfront:ListDistributions",
            "cloudfront:ListDistributionsByWebACLId",
            "cloudfront:UpdateDistribution",
            "cloudwatch:ListMetrics",
            "cloudwatch:GetMetricStatistics",
            "ec2:DescribeRegions"
         ],
         "Resource": [
            "*"
         ]
      }
   ]
}
```

------

## Concesión de acceso a un único paquete de protección (ACL web)
<a name="security_iam_id-based-policy-examples-access-to-web-acl"></a>

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación a través de la consola en un paquete de protección específico (ACL web) de la cuenta`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

## Concesión de acceso a la CLI a un paquete de protección (ACL web) y a un grupo de reglas
<a name="security_iam_id-based-policy-examples-cli-access-to-web-acl"></a>

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación a través de la CLI en un paquete de protección específico (ACL web) y en un grupo de reglas específico de la cuenta`444455556666`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "wafv2:*"
         ],
         "Resource": [
        "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example",
        "arn:aws:wafv2:us-east-1:444455556666:regional/rulegroup/test123rulegroup/555555555-6666-1234-abcd-00d11example"
         ]
      }
   ]
}
```

------

La siguiente política permite a los usuarios realizar cualquier AWS WAF operación a través de la consola en un paquete de protección específico (ACL web) de la cuenta`444455556666`.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wafv2:*"
            ],
            "Resource": [
                "arn:aws:wafv2:us-east-1:444455556666:regional/webacl/test123/112233d7c-86b2-458b-af83-51c51example"
            ]
        },
        {
            "Sid": "consoleAccess",
            "Effect": "Allow",
            "Action": [
                "wafv2:ListWebACLs",
                "ec2:DescribeRegions"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

------

# AWS políticas gestionadas para AWS WAF
<a name="security-iam-awsmanpol"></a>

En esta sección se explica cómo usar las políticas AWS administradas para AWS WAF.

Una política AWS administrada es una política independiente creada y administrada por AWS. AWS Las políticas administradas están diseñadas para proporcionar permisos para muchos casos de uso comunes, de modo que pueda empezar a asignar permisos a usuarios, grupos y funciones.

Ten en cuenta que es posible que las políticas AWS administradas no otorguen permisos con privilegios mínimos para tus casos de uso específicos, ya que están disponibles para que los usen todos los AWS clientes. Se recomienda definir [políticas administradas por el cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) específicas para sus casos de uso a fin de reducir aún más los permisos.

No puedes cambiar los permisos definidos en AWS las políticas administradas. Si AWS actualiza los permisos definidos en una política AWS administrada, la actualización afecta a todas las identidades principales (usuarios, grupos y roles) a las que está asociada la política. AWS es más probable que actualice una política AWS administrada cuando Servicio de AWS se lance una nueva o cuando estén disponibles nuevas operaciones de API para los servicios existentes.

Para obtener más información, consulte [Políticas administradas por AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.

## AWS política gestionada: AWSWAFRead OnlyAccess
<a name="security-iam-awsmanpol-AWSWAFReadOnlyAccess"></a>

Esta política otorga permisos de solo lectura que permiten a los usuarios acceder a AWS WAF recursos y recursos para servicios integrados, como Amazon CloudFront, Amazon API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon y Verified Access. AWS Puede adjuntar esta política a sus identidades de IAM. AWS WAF también vincula esta política a un rol de servicio que le permite AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)en la consola de IAM.

## AWS política gestionada: Acceso AWSWAFFull
<a name="security-iam-awsmanpol-AWSWAFFullAccess"></a>

Esta política otorga acceso total a AWS WAF los recursos y recursos de los servicios integrados, como Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch AWS Amazon y Verified Access. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también vincula esta política a un rol de servicio que le permite AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary) en la consola de IAM.

## AWS política gestionada: AWSWAFConsole ReadOnlyAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleReadOnlyAccess"></a>

Esta política concede permisos de solo lectura a la AWS WAF consola, que incluyen recursos para AWS WAF y para servicios integrados, como Amazon, Amazon CloudFront API Gateway, Application Load Balancer, AWS AppSync Amazon Cognito AWS App Runner AWS Amplify, CloudWatch Amazon y Verified Access. AWS Puede adjuntar esta política a sus identidades de IAM.

Para obtener más información sobre esta política, consulte [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary)la consola de IAM.

## AWS política gestionada: AWSWAFConsole FullAccess
<a name="security-iam-awsmanpol-AWSWAFConsoleFullAccess"></a>

Esta política otorga acceso total a la AWS WAF consola, que incluye recursos para AWS WAF y para servicios integrados, como Amazon CloudFront, Amazon API Gateway, Application Load Balancer AWS AppSync, Amazon Cognito AWS App Runner AWS Amplify, CloudWatch AWS Amazon y Verified Access. Puede adjuntar esta política a sus identidades de IAM. AWS WAF también vincula esta política a un rol de servicio que le permite AWS WAF realizar acciones en su nombre.

Para obtener más información sobre esta política, consulte [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary)en la consola de IAM.

## AWS política gestionada: WAFV2 LoggingServiceRolePolicy
<a name="security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy"></a>

Esta política permite AWS WAF escribir registros en Amazon Data Firehose. Esta política solo se utiliza si habilita el inicio de sesión AWS WAF. Esta política se adjunta al rol vinculado al servicio de `AWSServiceRoleForWAFV2Logging`. Para obtener más información sobre el rol vinculado a servicios, consulte [Uso de roles vinculados a servicios para AWS WAF](using-service-linked-roles.md). 

Para obtener más información sobre esta política, consulte [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary)en la consola de IAM.

## AWS WAF actualizaciones de las políticas AWS gestionadas
<a name="security-iam-awsmanpol-updates"></a>



Consulta los detalles sobre las actualizaciones de las políticas AWS gestionadas AWS WAF desde que este servicio comenzó a realizar el seguimiento de estos cambios. Para recibir alertas automáticas sobre los cambios en esta página, suscríbase a la fuente RSS de la página del historial del AWS WAF documento en[Historial de documentos](doc-history.md).




| Política | Descripción del cambio | Date | 
| --- | --- | --- | 
|  `AWSWAFConsoleFullAccess` Esta política le permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se agregaron los siguientes permisos para los planes CloudFront de precios. Para obtener más información, consulte [Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 18-11-2020  | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Se agregaron los siguientes permisos para los planes CloudFront de precios. Para obtener más información, consulte [Utilizándolo AWS WAF con planes CloudFront de precios de tarifa fija](cloudfront-features.md#waf-cf-pricing-plans) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 18-11-2020 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Se han actualizado los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 03/11/2025 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se han actualizado los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 03/11/2025 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Se agregaron los permisos para los AssociateWeb que se requieren DisassociateWeb ACL, ACL, GetWeb ACLFor Resource y ListResourcesForWeb ACL. AWS Amplify  | 05-05-2020 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Para obtener más información sobre esta política, consulte [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary)en la consola de IAM. |  Se han añadido permisos para los que se requieren el GetWeb ACLFor recurso y la ListResourcesForWeb ACL. AWS Amplify  | 05-05-2020 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 05-05-05 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se han añadido los siguientes permisos:  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html) [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/waf/latest/developerguide/security-iam-awsmanpol.html)  | 05-05-05 | 
| `WAFV2LoggingServiceRolePolicy` Esta política permite AWS WAF escribir registros en Amazon Data Firehose. Solo se utiliza si habilita el registro.  Detalles en la consola de IAM:. [WAFV2LoggingServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/WAFV2LoggingServiceRolePolicy$serviceLevelSummary) |  Se agregó una declaración IDs (SID) a la configuración de permisos del rol vinculado al servicio al que está asociada esta política.   | 03 de junio de 2024 | 
| `AWSServiceRoleForWAFV2Logging` Esta función vinculada a un servicio proporciona políticas de permisos que permiten AWS WAF escribir registros en Amazon Data Firehose.  [Detalles en la consola de IAM: registro. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging) |  Se agregó una declaración IDs (SIDS) a la configuración de permisos.   | 03 de junio de 2024 | 
|  AWS WAF adiciones al seguimiento de cambios  |  AWS WAF comenzó a realizar un seguimiento de los cambios en la política gestionada `WAFV2LoggingServiceRolePolicy` y en la función vinculada al servicio. `AWSServiceRoleForWAFV2Logging`   | 2024-06-03 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Se ampliaron los permisos para añadir instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para agregar instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar instancias de acceso AWS verificado a los tipos de recursos con AWS WAF los que puede protegerse.  | -17 de junio de 2023 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Se ampliaron los permisos para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
|  `AWSWAFConsoleFullAccess` Esta política le permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política le permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para corregir la configuración de acceso a los AWS App Runner servicios.  | 06-06-2020 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en AWS WAF los servicios integrados y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permisos ampliados para añadir AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
| `AWSWAFReadOnlyAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para agregar AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de la AWS consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para agregar AWS App Runner servicios a los tipos de recursos con AWS WAF los que puede protegerse.  | 30 de marzo de 2023 | 
| `AWSWAFFullAccess` Esta política le permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary). |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
| `AWSWAFReadOnlyAccess` Esta política permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
|  `AWSWAFConsoleReadOnlyAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleReadOnlyAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleReadOnlyAccess$serviceLevelSummary).  |  Permisos ampliados para añadir grupos de usuarios de Amazon Cognito a los tipos de recursos con los que puede protegerse. AWS WAF  | 25/08/2022 | 
| `AWSWAFFullAccess` Esta política permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Se corrigió la configuración de permisos para la entrega de registros para Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Este cambio resuelve los errores de acceso denegado que se produjeron durante la configuración del registro. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 11/01/2022 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se corrigió la configuración de permisos para la entrega de registros para Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Este cambio resuelve los errores de acceso que se produjeron durante la configuración del registro. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 11/01/2022 | 
|  `AWSWAFFullAccess` Esta política permite administrar AWS WAF los AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFFullAcceso](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFFullAccess$serviceLevelSummary).  |  Se agregaron nuevos permisos para ampliar las opciones de registro. Este cambio da AWS WAF acceso a los destinos de registro adicionales Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 15-11-2021 | 
|  `AWSWAFConsoleFullAccess` Esta política permite AWS WAF administrar los recursos de AWS la consola y otros AWS recursos en su nombre en los servicios integrados AWS WAF y dentro de ellos. Detalles en la consola de IAM: [AWSWAFConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSWAFConsoleFullAccess$serviceLevelSummary).  |  Se agregaron nuevos permisos para ampliar las opciones de registro. Este cambio da AWS WAF acceso a los destinos de registro adicionales Amazon Simple Storage Service (Amazon S3) y Amazon CloudWatch Logs. Para obtener información sobre cómo registrar el tráfico de su paquete de protección (ACL web), consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).  | 15-11-2021 | 
|  AWS WAF comenzó a rastrear los cambios  |  AWS WAF comenzó a realizar un seguimiento de los cambios de sus políticas AWS gestionadas.  | 2021-3-01 | 

# Solución de problemas AWS WAF de identidad y acceso
<a name="security_iam_troubleshoot"></a>

Utilice la siguiente información como ayuda para diagnosticar y solucionar los problemas habituales que pueden surgir al trabajar con un AWS WAF IAM.

**Topics**
+ [No estoy autorizado a realizar ninguna acción en AWS WAF](#security_iam_troubleshoot-no-permissions)
+ [No estoy autorizado a realizar tareas como: PassRole](#security_iam_troubleshoot-passrole)
+ [Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS WAF recursos](#security_iam_troubleshoot-cross-account-access)

## No estoy autorizado a realizar ninguna acción en AWS WAF
<a name="security_iam_troubleshoot-no-permissions"></a>

Si recibe un error que indica que no tiene autorización para realizar una acción, las políticas se deben actualizar para permitirle realizar la acción.

En el siguiente ejemplo, el error se produce cuando el usuario de IAM `mateojackson` intenta utilizar la consola para consultar los detalles acerca de un recurso ficticio `my-example-widget`, pero no tiene los permisos ficticios `wafv2:GetWidget`.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wafv2:GetWidget on resource: my-example-widget
```

En este caso, la política del usuario `mateojackson` debe actualizarse para permitir el acceso al recurso `my-example-widget` mediante la acción `wafv2:GetWidget`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## No estoy autorizado a realizar tareas como: PassRole
<a name="security_iam_troubleshoot-passrole"></a>

Si recibe un error que indica que no tiene autorización para realizar la acción `iam:PassRole`, las políticas deben actualizarse a fin de permitirle pasar un rol a AWS WAF.

Algunas Servicios de AWS permiten transferir una función existente a ese servicio en lugar de crear una nueva función de servicio o una función vinculada a un servicio. Para ello, debe tener permisos para transferir la función al servicio.

En el siguiente ejemplo, el error se produce cuando un usuario de IAM denominado `marymajor` intenta utilizar la consola para realizar una acción en AWS WAF. Sin embargo, la acción requiere que el servicio cuente con permisos que otorguen un rol de servicio. Mary no tiene permisos para transferir el rol al servicio.

```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```

En este caso, las políticas de Mary se deben actualizar para permitirle realizar la acción `iam:PassRole`.

Si necesita ayuda, póngase en contacto con su AWS administrador. El administrador es la persona que le proporcionó las credenciales de inicio de sesión.

## Quiero permitir que personas ajenas a mí accedan Cuenta de AWS a mis AWS WAF recursos
<a name="security_iam_troubleshoot-cross-account-access"></a>

Se puede crear un rol que los usuarios de otras cuentas o las personas externas a la organización puedan utilizar para acceder a sus recursos. Se puede especificar una persona de confianza para que asuma el rol. En el caso de los servicios que respaldan las políticas basadas en recursos o las listas de control de acceso (ACLs), puedes usar esas políticas para permitir que las personas accedan a tus recursos.

Para obtener más información, consulte lo siguiente:
+ Para saber si AWS WAF es compatible con estas funciones, consulte. [Cómo AWS WAF funciona con IAM](security_iam_service-with-iam.md)
+ Para obtener información sobre cómo proporcionar acceso a los recursos de su Cuentas de AWS propiedad, consulte [Proporcionar acceso a un usuario de IAM en otro usuario de su propiedad Cuenta de AWS en](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) la Guía del *usuario de IAM*.
+ Para obtener información sobre cómo proporcionar acceso a tus recursos a terceros Cuentas de AWS, consulta Cómo [proporcionar acceso a recursos que Cuentas de AWS son propiedad de terceros](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) en la Guía del usuario de *IAM*.
+ Para obtener información sobre cómo proporcionar acceso mediante una federación de identidades, consulte [Proporcionar acceso a usuarios autenticados externamente (identidad federada)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) en la *Guía del usuario de IAM*.
+ Para conocer sobre la diferencia entre las políticas basadas en roles y en recursos para el acceso entre cuentas, consulte [Acceso a recursos entre cuentas en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) en la *Guía del usuario de IAM*.

# Uso de roles vinculados a servicios para AWS WAF
<a name="using-service-linked-roles"></a>

En esta sección, se explica cómo usar los roles vinculados al servicio para dar AWS WAF acceso a los recursos de tu cuenta. AWS 

AWS WAF [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a un servicio es un tipo único de rol de IAM al que se vincula directamente. AWS WAF Los roles vinculados al servicio están predefinidos AWS WAF e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre. 

Un rol vinculado a un servicio facilita la configuración AWS WAF , ya que no es necesario añadir manualmente los permisos necesarios. AWS WAF define los permisos de sus funciones vinculadas al servicio y, a menos que se defina lo contrario, solo AWS WAF puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos. Dicha política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a un servicio después de eliminar los recursos relacionados del rol. Esto protege sus AWS WAF recursos porque no puede eliminar inadvertidamente el permiso de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios que muestran **Sí** en la columna **Rol vinculado a un servicio**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

## Permisos de rol vinculados al servicio para AWS WAF
<a name="slr-permissions"></a>

AWS WAF usa la función vinculada al servicio `AWSServiceRoleForWAFV2Logging` para escribir registros en Amazon Data Firehose. Esta función solo se utiliza si habilita el inicio de sesión. AWS WAF Para obtener más información acerca del registro, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

Esta función vinculada al servicio está asociada a la política AWS gestionada. `WAFV2LoggingServiceRolePolicy` Para obtener más información sobre la política administrada, consulte [AWS política gestionada: WAFV2 LoggingServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-WAFV2LoggingServiceRolePolicy).

El rol vinculado a servicios `AWSServiceRoleForWAFV2Logging` confía en el servicio `wafv2.amazonaws.com` para asumir el rol. 

Las políticas de permisos del rol permiten AWS WAF realizar las siguientes acciones en los recursos especificados:
+ Acciones de Amazon Data Firehose: `PutRecord` y `PutRecordBatch` en los recursos del flujo de datos de Firehose con un nombre que comience por `aws-waf-logs-`. Por ejemplo, `aws-waf-logs-us-east-2-analytics`.
+ AWS Organizations acción: `DescribeOrganization` sobre los recursos de las organizaciones de Organizations. 

[Consulte la función completa vinculada al servicio en la consola de IAM: Registrar. AWSService RoleFor WAFV2](https://console.aws.amazon.com/iam/home#/roles/details/AWSServiceRoleForWAFV2Logging)

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.

## Crear un rol vinculado a un servicio para AWS WAF
<a name="create-slr"></a>

No necesita crear manualmente un rol vinculado a servicios. Cuando habilita el AWS WAF inicio de sesión Consola de administración de AWS, o realiza una `PutLoggingConfiguration` solicitud en la AWS WAF CLI o la AWS WAF API, AWS WAF crea el rol vinculado al servicio para usted. 

Debe tener el permiso `iam:CreateServiceLinkedRole` para habilitar el registro.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al habilitar el AWS WAF registro, vuelve a AWS WAF crear el rol vinculado al servicio para usted. 

## Edición de un rol vinculado a un servicio para AWS WAF
<a name="edit-slr"></a>

AWS WAF no permite editar el rol vinculado al `AWSServiceRoleForWAFV2Logging` servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.

## Eliminar un rol vinculado a un servicio para AWS WAF
<a name="delete-slr"></a>

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. Así no tendrá una entidad no utilizada que no se supervise ni mantenga de forma activa. Sin embargo, debe limpiar los recursos de su rol vinculado al servicio antes de eliminarlo manualmente.

**nota**  
Si el AWS WAF servicio utiliza el rol al intentar eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.

**Para eliminar AWS WAF los recursos utilizados por el `AWSServiceRoleForWAFV2Logging`**

1. En la AWS WAF consola, elimine el registro de todas las ACL web. Para obtener más información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md).

1. Mediante la API o la CLI, envíe una solicitud `DeleteLoggingConfiguration` para cada ACL web que tenga habilitado el registro. Para obtener más información, consulte [Referencia de la API de AWS WAF](https://docs.aws.amazon.com/waf/latest/APIReference/Welcome.html).

**Para eliminar manualmente el rol vinculado a servicios mediante IAM**

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios `AWSServiceRoleForWAFV2Logging`. Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.

## Regiones compatibles para funciones AWS WAF vinculadas al servicio
<a name="slr-regions"></a>

AWS WAF admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. Para obtener más información, consulte [Puntos de conexión y cuotas de AWS WAF](https://docs.aws.amazon.com/general/latest/gr/waf.html).

# Inicio de sesión y supervisión AWS WAF
<a name="waf-incident-response"></a>

En esta sección se explica cómo utilizar AWS las herramientas para supervisar y responder a los eventos en AWS WAF.

La supervisión es una parte importante del mantenimiento de la fiabilidad, la disponibilidad y el rendimiento de AWS WAF sus AWS soluciones. Debe recopilar los datos de supervisión de todas las partes de la AWS solución para poder depurar con mayor facilidad una falla multipunto en caso de que se produzca. AWS proporciona varias herramientas para supervisar sus AWS WAF recursos y responder a posibles eventos:

** CloudWatch Alarmas Amazon**  
Al usar CloudWatch las alarmas, puede observar una única métrica durante un período de tiempo que especifique. Si la métrica supera un umbral determinado, CloudWatch envía una notificación a un tema o AWS Auto Scaling política de Amazon SNS. Para obtener más información, consulte [Monitorización con Amazon CloudWatch](monitoring-cloudwatch.md).

**AWS CloudTrail registros**  
CloudTrail proporciona un registro de las acciones realizadas por un usuario, un rol o un AWS servicio en AWS WAF. Con la información recopilada CloudTrail, puede determinar el destinatario de la solicitud AWS WAF, la dirección IP desde la que se realizó la solicitud, quién la realizó, cuándo se realizó y detalles adicionales. Para obtener más información, consulte [Registro de llamadas a la API de AWS CloudTrail con](logging-using-cloudtrail.md). 

**AWS WAF registro de tráfico del paquete de protección (ACL web)**  
AWS WAF ofrece un registro del tráfico que analizan sus paquetes de protección (web ACLs). Los registros incluyen información como la hora a la que se AWS WAF recibió la solicitud del AWS recurso protegido, información detallada sobre la solicitud y la configuración de la acción de la regla con la que coincidió la solicitud. Para obtener más información, consulte [Registro AWS WAF del tráfico del paquete de protección (ACL web)](logging.md). 

# Validación del cumplimiento en AWS WAF
<a name="waf-compliance"></a>

En esta sección se explica su responsabilidad de cumplimiento al utilizarlos AWS WAF.

Para saber si un programa de cumplimiento Servicio de AWS está dentro del ámbito de aplicación de programas de cumplimiento específicos, consulte [Servicios de AWS Alcance por programa](https://aws.amazon.com/compliance/services-in-scope/) de de cumplimiento y elija el programa de cumplimiento que le interese. Para obtener información general, consulte Programas de [AWS cumplimiento > Programas AWS](https://aws.amazon.com/compliance/programs/) .

Puede descargar informes de auditoría de terceros utilizando AWS Artifact. Para obtener más información, consulte [Descarga de informes en AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .

Su responsabilidad de cumplimiento al Servicios de AWS utilizarlos viene determinada por la confidencialidad de sus datos, los objetivos de cumplimiento de su empresa y las leyes y reglamentos aplicables. Para obtener más información sobre su responsabilidad de conformidad al utilizarlos Servicios de AWS, consulte [AWS la documentación de seguridad](https://docs.aws.amazon.com/security/).

# Construir para la resiliencia en AWS WAF
<a name="disaster-recovery-resiliency"></a>

En esta sección se explica cómo la AWS arquitectura admite la redundancia de datos para. AWS WAF

La infraestructura AWS global se basa en zonas Regiones de AWS de disponibilidad. Regiones de AWS proporcionan varias zonas de disponibilidad aisladas y separadas físicamente, que están conectadas mediante redes de baja latencia, alto rendimiento y alta redundancia. Con las zonas de disponibilidad, puede diseñar y utilizar aplicaciones y bases de datos que realizan una conmutación por error automática entre zonas de disponibilidad sin interrupciones. Las zonas de disponibilidad tienen una mayor disponibilidad, tolerancia a errores y escalabilidad que las infraestructuras tradicionales de centros de datos únicos o múltiples. 

[Para obtener más información sobre las zonas de disponibilidad Regiones de AWS y las zonas de disponibilidad, consulte Infraestructura global.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)

# Seguridad de infraestructura en AWS WAF
<a name="infrastructure-security"></a>

En esta sección se explica cómo AWS WAF aísla el tráfico de servicio.

Como servicio gestionado, AWS WAF está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte [Seguridad AWS en la nube](https://aws.amazon.com/security/). Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte [Protección de infraestructuras en un marco](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) de buena * AWS arquitectura basado en el pilar de la seguridad*.

Utiliza las llamadas a la API AWS publicadas para acceder a AWS WAF través de la red. Los clientes deben admitir lo siguiente:
+ Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
+ Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.